Kommissionens förslag

Ändringsförslag

(1)  Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och artikel 16.1 i fördraget om Europeiska unionens funktionssätt (nedan kallat EUF-fördraget) föreskriver att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

(1)  Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och artikel 16.1 i fördraget om Europeiska unionens funktionssätt (nedan kallat EUF-fördraget) föreskriver att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Denna rättighet garanteras även i artikel 8 i den europeiska konventionen om de mänskliga rättigheterna.

Kommissionens förslag

Ändringsförslag

(5)  För att främja en konsekvent strategi för skyddet av personuppgifter i hela unionen och för det fria flödet av personuppgifter inom unionen, är det viktigt att så långt som möjligt anpassa de regler om skydd av personuppgifter som gäller för unionsinstitutioner och unionsorgan till de regler om skydd för personuppgifter som har antagits för den offentliga sektorn i medlemsstaterna. När en bestämmelse i denna förordning bygger på samma koncept som en bestämmelse i förordning (EU) 2016/679 bör dessa båda bestämmelser tolkas enhetligt, särskilt eftersom den systematik som denna förordning bygger på bör uppfattas som en motsvarighet till systematiken bakom förordning (EU) 2016/679.

(5)  För att främja en konsekvent strategi för skyddet av personuppgifter i hela unionen och för det fria flödet av personuppgifter inom unionen, är det viktigt att anpassa de regler om skydd av personuppgifter som gäller för unionens institutioner, organ, kontor och byråer till de regler om skydd för personuppgifter som har antagits för den offentliga sektorn i medlemsstaterna. När en bestämmelse i denna förordning bygger på samma koncept som en bestämmelse i förordning (EU) 2016/679 bör dessa båda bestämmelser enligt rättspraxis från Europeiska unionens domstol1a tolkas enhetligt, särskilt eftersom den systematik som denna förordning bygger på bör uppfattas som en motsvarighet till systematiken bakom förordning (EU) 2016/679.

_________________

1a Domstolens dom av den 9 mars 2010, kommissionen mot Förbundsrepubliken Tyskland, mål C-518/07, ECLI:EU:C:2010:125, punkterna 26 och 28.

Kommissionens förslag

Ändringsförslag

(7a)  Den rättsliga ramen för uppgiftsskydd vid behandling av uppgifter som utgör ett led i unionsinstitutionernas eller unionsorganens verksamhet på områdena frihet, säkerhet och rättvisa och den gemensamma utrikes- och säkerhetspolitiken förblir fragmenterad och skapar rättsosäkerhet. Denna förordning bör därför innehålla harmoniserade regler för skydd av och fri rörlighet för personuppgifter som behandlas av unionens institutioner och organ som utövar verksamhet som omfattas av tredje delen avdelning V kapitlen 4 och 5 i EUF-fördraget och avdelning V kapitel 2 i EU-fördraget.

Kommissionens förslag

Ändringsförslag

(8)  I förklaring nr 21 om skydd av personuppgifter på området för straffrättsligt samarbete och polissamarbete, fogad till slutakten från den regeringskonferens som antog Lissabonfördraget, bekräftade konferensen att det med hänsyn till dessa områdens särart kan komma att bli nödvändigt att anta särskilda regler om skydd av personuppgifter och om det fria flödet av personuppgifter på områdena för straffrättsligt samarbete och polissamarbete med stöd av artikel 16 i EUF-fördraget. Denna förordning bör därför tillämpas på unionsbyråer som bedriver verksamhet på området för straffrättsligt samarbete och polissamarbete endast i den utsträckning som unionslagstiftning som är tillämplig på sådana byråer inte innehåller några särskilda regler om behandling av personuppgifter.

(8)  I förklaring nr 21 om skydd av personuppgifter på området för straffrättsligt samarbete och polissamarbete, fogad till slutakten från den regeringskonferens som antog Lissabonfördraget, bekräftade konferensen att det med hänsyn till dessa områdens särart kan komma att bli nödvändigt att anta särskilda regler om skydd av personuppgifter och om det fria flödet av personuppgifter på områdena för straffrättsligt samarbete och polissamarbete med stöd av artikel 16 i EUF-fördraget. Vidare har den gemensamma utrikes- och säkerhetspolitiken en särskild karaktär och särskilda bestämmelser om skydd av personuppgifter, och det skulle kunna komma att bli nödvändigt att säkerställa fri rörlighet för personuppgifter även på detta område. Det är därför lämpligt att reglera behandlingen av operativa personuppgifter när denna utförs av unionsbyråer som har inrättats på grundval av tredje delen avdelning V kapitlen 4 och 5 i EUF-fördraget och av de uppdrag som avses i artiklarna 42.1, 43 och 44 i EU-fördraget, genom att införa särskilda regler som avviker från ett antal allmänna bestämmelser i denna förordning.

Kommissionens förslag

Ändringsförslag

(14)  Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter. Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke ges för samtliga syften. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser.

(14)  Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne, som t.ex. genom en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en internetsida, genom val av inställningsalternativ för tjänster på informationssamhällets område eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter. Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke ges för samtliga syften. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser. Samtidigt bör den registrerade ha rätt att när som helst dra tillbaka sitt samtycke, utan att detta påverkar lagligheten hos behandling på grundval av detta samtycke innan det drogs tillbaka.

Kommissionens förslag

Ändringsförslag

(15)  Varje behandling av personuppgifter måste vara laglig och rättvis. Det bör vara klart och tydligt för fysiska personer hur personuppgifter som rör dem insamlas, används, konsulteras eller på annat sätt behandlas samt i vilken utsträckning personuppgifterna behandlas eller kommer att behandlas. Öppenhetsprincipen kräver att all information och kommunikation i samband med behandlingen av dessa personuppgifter är lättillgänglig och lättbegriplig samt att ett klart och tydligt språk används. Den principen gäller framför allt informationen till registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen samt ytterligare information för att sörja för en rättvis och öppen behandling för berörda fysiska personer och deras rätt att erhålla bekräftelse på och meddelande om vilka personuppgifter rörande dem som behandlas. Fysiska personer bör göras medvetna om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de kan utöva sina rättigheter med avseende på behandlingen. De specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas för. Detta kräver i synnerhet att det tillses att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Alla rimliga åtgärder bör vidtas för att rätta eller radera felaktiga uppgifter. Personuppgifter bör behandlas på ett sätt som säkerställer lämplig säkerhet och konfidentialitet för personuppgifterna samt förhindrar obehörigt tillträde till och obehörig användning av personuppgifter och den utrustning som används för behandlingen.

(15)  Varje behandling av personuppgifter måste vara laglig och rättvis och ske med tydliga och väldefinierade syften. Det bör vara klart och tydligt för fysiska personer hur personuppgifter som rör dem insamlas, används, konsulteras eller på annat sätt behandlas samt i vilken utsträckning personuppgifterna behandlas eller kommer att behandlas. Öppenhetsprincipen kräver att all information och kommunikation i samband med behandlingen av dessa personuppgifter är lättillgänglig och lättbegriplig samt att ett klart och tydligt språk används. Den principen gäller framför allt informationen till registrerade om den personuppgiftsansvariges identitet och syftet med behandlingen samt ytterligare information för att sörja för en rättvis och öppen behandling för berörda fysiska personer och deras rätt att erhålla bekräftelse på och meddelande om vilka personuppgifter rörande dem som behandlas. Fysiska personer bör göras medvetna om risker, regler, skyddsåtgärder och rättigheter i samband med behandlingen av personuppgifter och om hur de kan utöva sina rättigheter med avseende på behandlingen. De specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in. Personuppgifterna bör vara adekvata, relevanta och begränsade till vad som är nödvändigt för de ändamål som de behandlas för. Detta kräver i synnerhet att det tillses att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum. Personuppgifter bör endast behandlas om syftet med behandlingen inte rimligen kan uppnås genom andra medel. För att säkerställa att personuppgifter inte sparas längre än nödvändigt bör den personuppgiftsansvarige införa tidsfrister för radering eller för regelbunden kontroll. Alla rimliga åtgärder bör vidtas för att rätta eller radera felaktiga uppgifter. Personuppgifter bör behandlas på ett sätt som säkerställer vederbörlig säkerhet och konfidentialitet för personuppgifterna samt förhindrar obehörigt tillträde till, avlyssning under överföring av och obehörig användning av personuppgifter, och den utrustning som används för behandlingen.

Kommissionens förslag

Ändringsförslag

(18)  De unionsrättsliga och de interna regler som det hänvisas till i denna förordning bör vara tydliga och precisa och deras tillämpning bör vara förutsägbar för personer som omfattas av dem, i enlighet med rättspraxis från Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna.

(18)  De unionsrättsliga regler som det hänvisas till i denna förordning bör vara tydliga och precisa och deras tillämpning bör vara förutsägbar för personer som omfattas av dem, i enlighet med kraven i stadgan och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

Kommissionens förslag

Ändringsförslag

(20)  När behandling sker efter samtycke från registrerade, bör personuppgiftsansvariga kunna visa att de registrerade har lämnat sitt samtycke till behandlingen. I synnerhet vid skriftliga förklaringar som rör andra frågor bör det finnas skyddsåtgärder som säkerställer att de registrerade är medvetna om att samtycke ges och om hur långt samtycket sträcker sig. I enlighet med rådets direktiv 93/13/EEG14 bör en förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den personuppgiftsansvariges identitet och syftet med den behandling för vilken personuppgifterna är avsedda. Samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.

(20)  När behandling sker efter samtycke från registrerade, bör personuppgiftsansvariga kunna visa att de registrerade har lämnat sitt samtycke till behandlingen. I synnerhet vid skriftliga förklaringar som rör andra frågor bör det finnas skyddsåtgärder som säkerställer att de registrerade är medvetna om att samtycke ges och om hur långt samtycket sträcker sig. I enlighet med rådets direktiv 93/13/EEG14 bör en förklaring om samtycke som den personuppgiftsansvarige i förväg formulerat tillhandahållas i en begriplig och lätt tillgänglig form, med användning av ett klart och tydligt språk och utan oskäliga villkor. För att samtycket ska vara informerat bör den registrerade känna till åtminstone den registeransvariges identitet, syftet med den behandling för vilken personuppgifterna är avsedda och kategorierna av mottagare av uppgifter samt informeras om rätten till tillgång och invändning vad gäller uppgifterna. Samtycke bör inte betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke.

_________________

_________________

14 Rådets direktiv 93/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal (EGT L 95, 21.4.1993, s. 29).

14 Rådets direktiv 93/13/EEG av den 5 april 1993 om oskäliga villkor i konsumentavtal (EGT L 95, 21.4.1993, s. 29).

Kommissionens förslag

Ändringsförslag

(22)  När mottagare som är etablerade i unionen och som omfattas av förordning (EU) 2016/679 eller direktiv (EU) 2016/680 vill få personuppgifter överförda till sig av unionsinstitutioner och unionsorgan, bör dessa mottagare visa att överföringen är nödvändig för att de ska kunna uppnå sin målsättning samt är proportionerlig och inte går utöver vad som är nödvändigt för att uppnå denna målsättning. Unionens institutioner och organ bör visa att det föreligger en sådan nödvändighet när de själva initierar överföringen, i överensstämmelse med principen om öppenhet.

(22)  När mottagare som är etablerade i unionen och som omfattas av förordning (EU) 2016/679 eller direktiv (EU) 2016/680 vill få personuppgifter överförda till sig av unionsinstitutioner och unionsorgan, bör dessa mottagare förse den registeransvarige med en motiverad begäran om överföring, som bör tjäna som underlag för den registeransvariges bedömning av om överföringen är nödvändig för att de ska kunna uppnå sin målsättning samt är proportionerlig och inte går utöver vad som är nödvändigt för att uppnå denna målsättning. Unionens institutioner och organ bör visa att det föreligger en sådan nödvändighet när de själva initierar överföringen, i överensstämmelse med principen om öppenhet.

Kommissionens förslag

Ändringsförslag

(23)  Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Dessa personuppgifter bör även inbegripa personuppgifter som avslöjar ras eller etniskt ursprung, varvid användningen av termen ras i denna förordning inte innebär att unionen godtar teorier som söker fastställa förekomsten av skilda människoraser. Behandling av foton bör inte systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Utöver de särskilda kraven för behandling av känsliga uppgifter, bör de allmänna principerna och andra bestämmelser i denna förordning tillämpas, särskilt när det gäller villkoren för laglig behandling. Undantag från det allmänna förbudet att behandla sådana särskilda kategorier av personuppgifter bör uttryckligen fastställas, bland annat om den registrerade lämnar sitt uttryckliga samtycke eller för att tillgodose specifika behov, i synnerhet när behandlingen utförs inom ramen för legitima verksamheter som bedrivs av vissa sammanslutningar eller stiftelser i syfte att göra det möjligt att utöva grundläggande friheter.

(23)  Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Sådana personuppgifter bör inte behandlas om behandling inte är tillåten i särskilda fall som anges i denna förordning. Dessa personuppgifter bör även inbegripa personuppgifter som avslöjar ras eller etniskt ursprung, varvid användningen av termen ras i denna förordning inte innebär att unionen godtar teorier som söker fastställa förekomsten av skilda människoraser. Behandling av foton bör inte systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton endast definieras som biometriska uppgifter när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Utöver de särskilda kraven för behandling av känsliga uppgifter, bör de allmänna principerna och andra bestämmelser i denna förordning tillämpas, särskilt när det gäller villkoren för laglig behandling. Undantag från det allmänna förbudet att behandla sådana särskilda kategorier av personuppgifter bör uttryckligen fastställas, bland annat om den registrerade lämnar sitt uttryckliga samtycke eller för att tillgodose specifika behov, i synnerhet när behandlingen utförs inom ramen för legitima verksamheter som bedrivs av vissa sammanslutningar eller stiftelser i syfte att göra det möjligt att utöva grundläggande friheter.

Kommissionens förslag

Ändringsförslag

(23a)  Särskilda kategorier av personuppgifter som förtjänar ett mer omfattande skydd bör endast behandlas i hälsorelaterade syften om detta krävs för att uppnå dessa syften och gagnar fysiska personer och samhället i stort, särskilt inom ramen för förvaltningen av tjänster för hälso- och sjukvård och social omsorg och deras system. Denna förordning bör därför innehålla harmoniserade villkor för behandling av särskilda kategorier av personuppgifter om hälsa, vad gäller särskilda behov, i synnerhet när behandlingen av uppgifterna utförs för vissa hälsorelaterade syften av personer som enligt lag är underkastade yrkesmässig tystnadsplikt. Unionsrätten bör föreskriva särskilda och lämpliga åtgärder som skyddar fysiska personers grundläggande rättigheter och personuppgifter.

Kommissionens förslag

Ändringsförslag

(24)  På folkhälsoområdet kan det bli nödvändigt att med hänsyn till ett allmänt intresse behandla särskilda kategorier av personuppgifter utan att den registrerades samtycke inhämtas. Sådan behandling bör förutsätta lämpliga och särskilda åtgärder för att skydda fysiska personers rättigheter och friheter. I detta sammanhang bör folkhälsa tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/200815, nämligen alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker. Sådan behandling av uppgifter om hälsa av allmänt intresse bör inte innebära att personuppgifter behandlas för andra ändamål av tredje part.

(24)  På folkhälsoområdet kan det bli nödvändigt att med hänsyn till ett allmänt intresse behandla särskilda kategorier av personuppgifter utan att den registrerades samtycke inhämtas. Sådan behandling bör förutsätta lämpliga och särskilda åtgärder för att skydda fysiska personers rättigheter och friheter. I detta sammanhang bör folkhälsa tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/200815, nämligen alla aspekter som rör hälsosituationen, dvs. allmänhetens hälsotillstånd, inbegripet sjuklighet och funktionshinder, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker. Sådan behandling av uppgifter om hälsa av allmänt intresse bör inte innebära att personuppgifter behandlas för andra ändamål.

__________________

__________________

15 Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet (EUT L 354, 31.12.2008, s. 70).

15 Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet (EUT L 354, 31.12.2008, s. 70).

Kommissionens förslag

Ändringsförslag

Rättsakter som antagits på grundval av fördragen eller interna regler vid unionens institutioner och organ får föreskriva begränsningar med avseende på specifika principer och med avseende på rätt till information, tillgång till och rättelse eller radering av personuppgifter, rätt till dataportabilitet, konfidentiell behandling av uppgifter inom elektronisk kommunikation, underrättelse om en personuppgiftsincident till den registrerade och vissa därmed sammanhängande skyldigheter för personuppgiftsansvariga, i den utsträckning åtgärden är nödvändig och proportionerlig i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten, förebygga, utreda och lagföra brott eller verkställa straffrättsliga påföljder, inbegripet skydd mot samt förebyggande av hot mot den allmänna säkerheten, däribland skydd av människoliv, särskilt vid naturkatastrofer eller katastrofer orsakade av människan, den inre säkerheten för unionsinstitutioner och unionsorgan, andra viktiga mål av allmänt intresse för hela unionen eller en medlemsstat, i synnerhet ett viktigt ekonomiskt eller finansiellt intresse för unionen eller en medlemsstat, förande av offentliga register som förs av hänsyn till ett allmänt intresse eller skydd av den registrerade eller andras rättigheter och friheter, inklusive socialt skydd, folkhälsa och humanitära skäl.

Rättsakter som antagits på grundval av fördragen får föreskriva begränsningar med avseende på specifika principer och med avseende på rätt till information, tillgång till och rättelse eller radering av personuppgifter, rätt till dataportabilitet, konfidentiell behandling av uppgifter inom elektronisk kommunikation, underrättelse om en personuppgiftsincident till den registrerade och vissa därmed sammanhängande skyldigheter för personuppgiftsansvariga, i den utsträckning åtgärden är nödvändig och proportionerlig i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten, förebygga, utreda och lagföra brott eller verkställa straffrättsliga påföljder, inbegripet skydd mot samt förebyggande av hot mot den allmänna säkerheten, däribland skydd av människoliv, särskilt vid naturkatastrofer eller katastrofer orsakade av människan, den inre säkerheten för unionsinstitutioner och unionsorgan, andra viktiga mål av allmänt intresse för hela unionen eller en medlemsstat, i synnerhet ett viktigt ekonomiskt eller finansiellt intresse för unionen eller en medlemsstat, förande av offentliga register som förs av hänsyn till ett allmänt intresse eller skydd av den registrerade eller andras rättigheter och friheter, inklusive socialt skydd, folkhälsa och humanitära skäl.

Kommissionens förslag

Ändringsförslag

Även om en begränsning inte föreskrivs i rättsakter som antagits på grundval av fördragen eller i interna regler vid unionens institutioner och organ, får unionsinstitutioner och unionsorgan i specifika fall införa en tillfällig begränsning avseende särskilda principer och den registrerades rättigheter om begränsningen sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och, med avseende på en specifik behandling, utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa ett eller flera av de ändamål som anges i punkt 1. Begränsningen bör anmälas till dataskyddsombudet. Alla begränsningar bör överensstämma med kraven i stadgan och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

utgår

Kommissionens förslag

Ändringsförslag

(39a)  I förordning (EU) 2016/679 föreskrivs att personuppgiftsansvariga får styrka efterlevnad genom anslutning till godkända certifieringsmekanismer. På liknande sätt bör unionens institutioner och organ kunna styrka efterlevnad av denna förordning genom att certifieras i enlighet med artikel 42 i förordning (EU) 2016/679.

Kommissionens förslag

Ändringsförslag

(42)  För att visa att denna förordning följs bör personuppgiftsansvariga föra register över sådan uppgiftsbehandling som de ansvarar för och personuppgiftsbiträden bör föra register över kategorier av uppgiftsbehandling som de ansvarar för. Unionsinstitutioner och unionsorgan bör vara skyldiga att samarbeta med Europeiska datatillsynsmannen och på dennas begäran göra sina register tillgängliga, så att de kan tjäna som grund för övervakningen av behandlingen. Unionens institutioner och organ bör ha möjlighet att inrätta ett centralt register över sin uppgiftsbehandling. Av öppenhetsskäl bör de också kunna göra ett sådant register offentligt.

(42)  För att visa att denna förordning följs bör personuppgiftsansvariga föra register över sådan uppgiftsbehandling som de ansvarar för och personuppgiftsbiträden bör föra register över kategorier av uppgiftsbehandling som de ansvarar för. Unionsinstitutioner och unionsorgan bör vara skyldiga att samarbeta med Europeiska datatillsynsmannen och på dennas begäran göra sina register tillgängliga, så att de kan tjäna som grund för övervakningen av behandlingen. Unionens institutioner och organ bör inrätta ett centralt register över sin uppgiftsbehandling. Av öppenhetsskäl bör de göra ett sådant register offentligt.

Kommissionens förslag

Ändringsförslag

(47)  I förordning (EG) nr 45/2001 föreskrivs en allmän skyldighet för den personuppgiftsansvarige att anmäla behandling av personuppgifter till dataskyddsombudet, som i sin tur ska föra ett register över sådana behandlingar som har anmälts. Denna skyldighet medförde administrativa och ekonomiska bördor, men förbättrade inte alltid personuppgiftsskyddet. Sådana övergripande och allmänna anmälningsskyldigheter bör därför avskaffas och ersättas av effektiva förfaranden och mekanismer som i stället inriktas på de typer av behandlingar som sannolikt innebär en hög risk för fysiska personers rättigheter och friheter, i kraft av deras art, omfattning, sammanhang och ändamål. Dessa behandlingar kan vara sådana som särskilt inbegriper användning av ny teknik eller är av en ny typ, för vilken konsekvensbedömning avseende uppgiftsskydd inte tidigare har genomförts av den personuppgiftsansvarige, eller som blir nödvändiga på grund av den tid som har förflutit sedan den ursprungliga behandlingen. I sådana fall bör den personuppgiftsansvarige före behandlingen, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt upphovet till risken, göra en konsekvensbedömning avseende dataskydd i syfte att bedöma den höga riskens specifika sannolikhetsgrad och allvar samt dess ursprung. Konsekvensbedömningen bör främst innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska minska denna risk, säkerställa personuppgiftskyddet och visa att denna förordning efterlevs.

(47)  I förordning (EG) nr 45/2001 föreskrivs en allmän skyldighet för den personuppgiftsansvarige att anmäla behandling av personuppgifter till dataskyddsombudet, som i sin tur för ett register över sådana behandlingar som har anmälts. Utöver denna allmänna skyldighet bör effektiva förfaranden och mekanismer inrättas för att övervaka behandlingar som sannolikt innebär en hög risk för fysiska personers rättigheter och friheter, i kraft av deras art, omfattning, sammanhang och ändamål. Dessa förfaranden bör också särskilt finnas på plats när behandlingstyper inbegriper användning av ny teknik eller är av en ny typ, för vilken konsekvensbedömning avseende uppgiftsskydd inte tidigare har genomförts av den personuppgiftsansvarige, eller som blir nödvändiga på grund av den tid som har förflutit sedan den ursprungliga behandlingen. I sådana fall bör den personuppgiftsansvarige före behandlingen, med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt upphovet till risken, göra en konsekvensbedömning avseende dataskydd i syfte att bedöma den höga riskens specifika sannolikhetsgrad och allvar samt dess ursprung. Konsekvensbedömningen bör främst innefatta de planerade åtgärder, skyddsåtgärder och mekanismer som ska minska denna risk, säkerställa personuppgiftskyddet och visa att denna förordning efterlevs.

Kommissionens förslag

Ändringsförslag

(50)  Genom förordning (EU) 2016/679 inrättades Europeiska dataskyddsstyrelsen som ett oberoende unionsorgan med ställning som juridisk person. Styrelsen bör bidra till en enhetlig tillämpning av förordning (EU) 2016/679 och direktiv 2016/680 i hela unionen, bl.a. genom att lämna råd till kommissionen. Samtidigt bör Europeiska datatillsynsmannen fortsätta att utöva sina övervakande och rådgivande funktioner med avseende på alla unionens institutioner och organ, även på eget initiativ eller på begäran. I syfte att säkerställa överensstämmelse mellan bestämmelserna om skydd av personuppgifter inom hela unionen, bör samråd med kommissionen vara obligatoriskt efter antagandet av lagstiftningsakter eller vid utarbetandet av delegerade akter och genomförandeakter som anges i artikel 289, 290 och 291 i EUF-fördraget och efter antagandet av rekommendationer och förslag som rör avtal med tredjeländer och internationella organisationer i enlighet med artikel 218 i EUF-fördraget vilka har en inverkan på rätten till skydd av personuppgifter. I sådana fall bör kommissionen vara skyldig att samråda med Europeiska datatillsynsmannen, utom i de fall då det i förordning (EU) 2016/679 föreskrivs obligatoriskt samråd med Europeiska dataskyddsstyrelsen, exempelvis vad gäller beslut om adekvat skyddsnivå eller delegerade akter om standardiserade symboler och krav för certifieringsmekanismer. Om akten i fråga är av särskild vikt för skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter, bör kommissionen dessutom ha möjlighet att samråda med Europeiska dataskyddsstyrelsen. I sådana fall bör Europeiska datatillsynsmannen, i egenskap av medlem i Europeiska dataskyddsstyrelsen, samordna sitt arbete med den senare i syfte att utfärda ett gemensamt yttrande. Europeiska datatillsynsmannen och, i tillämpliga fall, Europeiska dataskyddsstyrelsen, bör lämna sitt skriftliga råd inom åtta veckor. Denna tidsfrist bör förkortas i brådskande fall eller när det annars är lämpligt, t.ex. när kommissionen förbereder delegerade akter och genomförandeakter.

(50)  Genom förordning (EU) 2016/679 inrättades Europeiska dataskyddsstyrelsen som ett oberoende unionsorgan med ställning som juridisk person. Styrelsen bör bidra till en enhetlig tillämpning av förordning (EU) 2016/679 och direktiv 2016/680 i hela unionen, bl.a. genom att lämna råd till kommissionen. Samtidigt bör Europeiska datatillsynsmannen fortsätta att utöva sina övervakande och rådgivande funktioner med avseende på alla unionens institutioner och organ, även på eget initiativ eller på begäran. I syfte att säkerställa överensstämmelse mellan bestämmelserna om skydd av personuppgifter inom hela unionen bör det vara obligatoriskt för kommissionen att hålla samråd vid antagandet av förslag till lagstiftningsakter eller vid utarbetandet av delegerade akter och genomförandeakter enligt definitionen i artiklarna 289, 290 och 291 i EUF-fördraget och vid antagandet av rekommendationer och förslag som rör avtal med tredjeländer och internationella organisationer i enlighet med artikel 218 i EUF-fördraget vilka har en inverkan på rätten till skydd av personuppgifter. I sådana fall bör kommissionen vara skyldig att samråda med Europeiska datatillsynsmannen, utom i de fall då det i förordning (EU) 2016/679 föreskrivs obligatoriskt samråd med Europeiska dataskyddsstyrelsen, exempelvis vad gäller beslut om adekvat skyddsnivå eller delegerade akter om standardiserade symboler och krav för certifieringsmekanismer. Om akten i fråga är av särskild vikt för skyddet av enskilda personers fri- och rättigheter med avseende på behandlingen av personuppgifter, bör kommissionen dessutom ha möjlighet att samråda med Europeiska dataskyddsstyrelsen. I sådana fall bör Europeiska datatillsynsmannen, i egenskap av medlem i Europeiska dataskyddsstyrelsen, samordna sitt arbete med den senare i syfte att utfärda ett gemensamt yttrande. Europeiska datatillsynsmannen och, i tillämpliga fall, Europeiska dataskyddsstyrelsen, bör lämna sitt skriftliga råd inom åtta veckor. Denna tidsfrist bör förkortas i brådskande fall eller när det annars är lämpligt, t.ex. när kommissionen förbereder delegerade akter och genomförandeakter.

Kommissionens förslag

Ändringsförslag

(50a)  I enlighet med artikel 75 i förordning (EU) 2016/679 tillhandahåller Europeiska datatillsynsmannen ett sekretariat för Europeiska dataskyddsstyrelsen.

Kommissionens förslag

Ändringsförslag

(52)  Det är viktigt att den skyddsnivå som fysiska personer säkerställs inom unionen genom denna förordning inte undergrävs när personuppgifter överförs från unionsinstitutioner och unionsorgan till personuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare i tredjeland eller till internationella organisationer, vilket inbegriper vidarebefordran av personuppgifter från tredjelandet eller den internationella organisationen till personuppgiftsansvariga, personuppgiftsbiträden i samma eller ett annat tredjeland eller en annan internationell organisation. Överföringar till tredjeländer och internationella organisationer får under alla omständigheter endast utföras i full överensstämmelse med denna förordning. En överföring kan endast ske, om de villkor som fastställs i bestämmelserna i denna förordning om överföring av personuppgifter till tredjeländer eller internationella organisationer har uppfyllts av den personuppgiftsansvarige eller personuppgiftsbiträdet, med förbehåll för de övriga bestämmelserna i denna förordning.

(52)  Den skyddsnivå som fysiska personer säkerställs inom unionen genom denna förordning bör garanteras när personuppgifter överförs från unionsinstitutioner och unionsorgan till personuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare i tredjeland eller till internationella organisationer, vilket inbegriper vidarebefordran av personuppgifter från tredjelandet eller den internationella organisationen till personuppgiftsansvariga, personuppgiftsbiträden i samma eller ett annat tredjeland eller en annan internationell organisation. Överföringar till tredjeländer och internationella organisationer får under alla omständigheter utföras endast i full överensstämmelse med denna förordning, förordning (EU) 2016/679 och de grundläggande rättigheterna och friheterna enligt stadgan. En överföring kan endast ske, om de villkor som fastställs i bestämmelserna i denna förordning om överföring av personuppgifter till tredjeländer eller internationella organisationer har uppfyllts av den personuppgiftsansvarige eller personuppgiftsbiträdet, med förbehåll för de övriga bestämmelserna i denna förordning.

Kommissionens förslag

Ändringsförslag

(53)  Kommissionen får, i enlighet med artikel 45 i förordning (EU) 2016/679, besluta att ett tredjeland, ett territorium eller en viss specificerad sektor i ett tredjeland, eller en internationell organisation, inte längre erbjuder en adekvat dataskyddsnivå. I dessa fall får överföringar av personuppgifter till det tredjelandet eller den internationella organisationen av en unionsinstitution eller ett unionsorgan ske utan ytterligare tillstånd.

(53)  Kommissionen får, i enlighet med artikel 45 i förordning (EU) 2016/679 eller artikel 36 i direktiv (EU) 2016/680, besluta att ett tredjeland, ett territorium eller en viss specificerad sektor i ett tredjeland, eller en internationell organisation, inte längre erbjuder en adekvat dataskyddsnivå. I dessa fall får överföringar av personuppgifter till det tredjelandet eller den internationella organisationen av en unionsinstitution eller ett unionsorgan ske utan ytterligare tillstånd.

Kommissionens förslag

Ändringsförslag

(64a)  Kommissionen har föreslagit en ändring av Europaparlamentets och rådets förordning (EU) nr 1024/2012 av den 25 oktober 2012 om administrativt samarbete genom informationssystemet för den inre marknaden och om upphävande av kommissionens beslut 2008/49/EG (IMI-förordningen) för att IMI-systemet ska kunna användas inte bara av medlemsstaternas behöriga myndigheter och kommissionen utan även av unionens organ, kontor och byråer1a. I avvaktan på denna översyn bör Europeiska datatillsynsmannen och Europeiska dataskyddsstyrelsen kunna använda informationssystemet för den inre marknaden för administrativt samarbete och informationsutbyte enligt den allmänna dataskyddsförordningen, med tanke på att den börjar tillämpas den 25 maj 2018.

_________________

1a Se artikel 36 i förslaget till Europaparlamentets och rådets förordning om inrättande av en gemensam digital ingång för tillhandahållande av information, förfaranden samt hjälp- och problemlösningstjänster och om ändring av förordning (EU) nr 1024/2012, COM(2017)0256, 2017/0086 (COD).

Kommissionens förslag

Ändringsförslag

(65)  I vissa fall föreskriver unionsrätten en modell för samordnad tillsyn som delas mellan Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna. Dessutom är Europeiska datatillsynsmannen tillsynsmyndighet för Europol och en särskild modell för samarbete med de nationella tillsynsmyndigheterna inrättas genom en samarbetsnämnd med en rådgivande funktion. I syfte att förbättra tillsynen och upprätthållandet av materiella regler om uppgiftsskydd i praktiken bör en gemensam, enhetlig modell för samordnad tillsyn införas i unionen. Kommissionen bör därför, när så är lämpligt, lägga fram lagstiftningsförslag i syfte att ändra unionsrättsakter som föreskriver en modell för samordnad tillsyn, för att anpassa dessa till den samordnade tillsynsmodellen i denna förordning. Europeiska dataskyddsstyrelsen bör fungera som ett gemensamt forum för att säkerställa en effektiv samordnad tillsyn på ett övergripande plan.

(65)  I vissa fall föreskriver unionsrätten en modell för samordnad tillsyn som delas mellan Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna. Dessutom är Europeiska datatillsynsmannen tillsynsmyndighet för Europol och en särskild modell för samarbete med de nationella tillsynsmyndigheterna inrättas genom en samarbetsnämnd med en rådgivande funktion. I syfte att förbättra tillsynen och upprätthållandet av materiella regler om uppgiftsskydd i praktiken bör denna förordning införa en gemensam, enhetlig modell för samordnad tillsyn. Europeiska dataskyddsstyrelsen bör fungera som ett gemensamt forum för att säkerställa en effektiv samordnad tillsyn på ett övergripande plan.

Kommissionens förslag

Ändringsförslag

2.  Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.

2.  Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter enligt stadgan, särskilt deras rätt till skydd av personuppgifter.

Kommissionens förslag

Ändringsförslag

1.  Denna förordning ska vara tillämplig på alla unionsinstitutioners och unionsorgans behandling av personuppgifter, om denna behandling genomförs för att utföra uppgifter som helt eller delvis omfattas av unionsrätten.

1.  Denna förordning ska vara tillämplig på alla unionsinstitutioners och unionsorgans behandling av personuppgifter.

Kommissionens förslag

Ändringsförslag

2a.  Denna förordning ska också tillämpas på unionsbyråer som bedriver verksamhet som omfattas av tillämpningsområdet för tredje delen avdelning V kapitlen 4 och 5 i EUF-fördraget, även när det i grundakterna för dessa unionsbyråer fastställs ett fristående system för uppgiftsskydd i fråga om behandlingen av operativa personuppgifter. Bestämmelser om särskild behandling av operativa personuppgifter som ingår i grundakterna för dessa byråer kan precisera och komplettera tillämpningen av denna förordning.

Kommissionens förslag

Ändringsförslag

(a)  de definitioner som fastställs i förordning (EU) 2016/679, med undantag av definitionen av personuppgiftsansvarig i artikel 4.7 i den förordningen.

(a)  de definitioner som fastställs i förordning (EU) 2016/679, med undantag av definitionen av personuppgiftsansvarig i artikel 4.7, huvudsakligt verksamhetsställe i artikel 4.16, företag i artikel 4.18 och koncern i artikel 4.19 i den förordningen; definitionen av elektronisk kommunikation i artikel 4.2 a i förordning (EU) nr XX/XXXX [förordningen om integritet och elektronisk kommunikation].

Kommissionens förslag

Ändringsförslag

(da)  operativa personuppgifter: personuppgifter som behandlas av de unionsbyråer som har inrättats på grundval av tredje delen avdelning V kapitlen 4 och 5 i EUF-fördraget och av de uppdrag som avses i artiklarna 42.1, 43 och 44 i EU-fördraget för att uppfylla de mål som fastställs i de akter genom vilka dessa byråer eller uppdrag inrättas.

Kommissionens förslag

Ändringsförslag

1.  Vid behandling av personuppgifter ska följande gälla:

1.  (Berör inte den svenska versionen.)

Kommissionens förslag

Ändringsförslag

(d)  De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).

(Berör inte den svenska versionen.)

Kommissionens förslag

Ändringsförslag

2.  De uppgifter som avses i punkt 1 a ska vara fastställda i unionsrätt.

2.  De uppgifter som avses i punkt 1 a ska vara fastställda i unionsrätt. Grunden för den behandling som avses i punkt 1 b ska fastställas i unionsrätten eller i en medlemsstats rätt som den registeransvarige omfattas av.

Kommissionens förslag

Ändringsförslag

Villkor som gäller barns samtycke avseende informationssamhällets tjänster

(Berör inte den svenska versionen.)

Kommissionens förslag

Ändringsförslag

Artikel 8a

Överföring av personuppgifter mellan unionens institutioner och organ

Utan att det påverkar tillämpningen av artiklarna 4, 5, 6 och 10 ska följande gälla:

1. Personuppgifter får endast överföras inom eller till andra unionsinstitutioner och unionsorgan om uppgifterna är nödvändiga för att lagenligt utföra uppgifter för vilka mottagaren har behörighet.

2. Både den registeransvarige och mottagaren ska ansvara för att denna överföring sker lagenligt, om uppgifterna överförs på begäran av mottagaren.

Den registeransvarige är skyldig att kontrollera mottagarens behörighet och preliminärt bedöma om överföringen av uppgifterna är nödvändig. Om det uppstår tveksamhet om nödvändigheten ska den registeransvarige begära ytterligare information från mottagaren.

Mottagaren ska säkerställa att man senare kan kontrollera att överföringen av uppgifterna var nödvändig.

3. Mottagaren får endast behandla personuppgifterna för de ändamål för vilka de överfördes.

.

Kommissionens förslag

Ändringsförslag

1.  Utan att det påverkar tillämpningen av artiklarna 4, 5, 6 och 10 ska personuppgifter endast överföras till mottagare som är etablerade i unionen och som omfattas av förordning (EU) 2016/679 eller den nationella lagstiftning som har antagits i enlighet med direktiv (EU) 2016/680, om mottagaren visar

1.  Utan att det påverkar tillämpningen av artiklarna 4, 5, 6, 10, 14, 15.3 och 16.4 ska personuppgifter endast överföras till mottagare som är etablerade i unionen och som omfattas av förordning (EU) 2016/679 eller den nationella lagstiftning som har antagits i enlighet med direktiv (EU) 2016/680, om den registeransvarige, på grundval av en motiverad begäran från mottagaren, visar

Kommissionens förslag

Ändringsförslag

(b)  att det är nödvändigt att uppgifterna överförs, det råder proportionalitet i förhållande till syftet med överföringen och det saknas skäl att anta att den registrerades legitima intressen skulle kunna skadas.

(b)  att det är proportionellt och nödvändigt i syfte att tjäna ett allmänt intresse, såsom öppenhet eller god förvaltning, att uppgifterna överförs och det finns något skäl att anta att den registrerades legitima intressen skulle kunna skadas, efter en påvisbar avvägning mellan de olika konkurrerande intressena.

Kommissionens förslag

Ändringsförslag

(a)  Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa uppgifter för ett eller flera specifika ändamål, utom då unionsrätten föreskriver att förbudet i punkt 1 inte får upphävas av den registrerade.

(a)  Den registrerade har uttryckligen lämnat sitt samtycke till behandlingen av dessa personuppgifter för ett eller flera specifika ändamål, utom då unionsrätten föreskriver att förbudet i punkt 1 inte får upphävas av den registrerade.

Kommissionens förslag

Ändringsförslag

3.  Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h, om uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten.

3.  Personuppgifter som avses i punkt 1 får behandlas för de ändamål som avses i punkt 2 h, om uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ eller av en annan person som också omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt eller bestämmelser som fastställs av nationella behöriga organ.

Kommissionens förslag

Ändringsförslag

Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 5.1 får endast utföras om behandlingen är tillåten enligt unionsrätten, vilket kan inbegripa interna regler, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.

Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 5.1 får endast utföras om behandlingen är tillåten enligt unionsrätten, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.

Kommissionens förslag

Ändringsförslag

Information som tillhandahållits enligt artiklarna 15 och 16, all kommunikation och samtliga åtgärder som vidtas enligt artiklarna 17–24 och 38 ska tillhandahållas kostnadsfritt. Om begäranden från en registrerad är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige vägra att tillmötesgå begäran.

Information som tillhandahållits enligt artiklarna 15 och 16, all kommunikation och samtliga åtgärder som vidtas enligt artiklarna 17–24 och 38 ska tillhandahållas kostnadsfritt.

Kommissionens förslag

Ändringsförslag

8.  Om kommissionen antar delegerade akter i enlighet med artikel 12.8 i förordning (EU) 2016/679 för att fastställa vilken information som ska visas med hjälp av symboler och förfarandena för att tillhandahålla sådana symboler, ska unionens institutioner och organ, i tillämpliga fall, lämna de uppgifter som avses i artiklarna 15 och 16, tillsammans med sådana standardiserade symboler.

8.  Kommissionen ska ges befogenhet att anta delegerade akter i enlighet med artikel 12.8 i förordning (EU) 2016/679 för att fastställa vilken information som ska visas med hjälp av symboler och förfarandena för att tillhandahålla sådana symboler, och unionens institutioner och organ ska, i tillämpliga fall, lämna de uppgifter som avses i artiklarna 15 och 16, tillsammans med sådana standardiserade symboler.

Kommissionens förslag

Ändringsförslag

(b)  tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, eller i den mån den skyldighet som avses i punkt 1 i denna artikel sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen,

(Berör inte den svenska versionen.)  

Kommissionens förslag

Ändringsförslag

(c)  erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten, eller

(c)  erhållande eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten som den personuppgiftsansvarige omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intresse, eller

Kommissionens förslag

Ändringsförslag

(d)  personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätten.

(d)  personuppgifterna måste förbli konfidentiella till följd av tystnadsplikt enligt unionsrätten, inbegripet en lagstadgad sekretessförpliktelse.

Kommissionens förslag

Ändringsförslag

5a.   I de fall som avses i punkt 5 b ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intresse, däribland att göra informationen allmänt tillgänglig.

Kommissionens förslag

Ändringsförslag

(b)  Behandlingen är olaglig och den registrerade motsätter sig att de raderas och i stället begär en begränsning av deras användning.

(b)  Behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning.

Kommissionens förslag

Ändringsförslag

1.  Rättsakter som antas på grundval av fördragen eller, när det gäller frågor rörande unionens institutioners och organs funktion, interna regler som införts av de sistnämnda får föreskriva begränsningar i tillämpningen av artiklarna 14–22, 34 och 38, samt artikel 4 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa

1.  Rättsakter som antas på grundval av fördragen får föreskriva begränsningar i tillämpningen av artiklarna 14–22 och 38, samt artikel 4 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa

Kommissionens förslag

Ändringsförslag

1a.   Akter som antas enligt punkt 1 ska vara tydliga och precisa. Deras tillämpning ska vara förutsägbar för personer som omfattas av dem.

Kommissionens förslag

Ändringsförslag

1b.  I synnerhet ska alla rättsakter som antas enligt punkt 1 innehålla specifika bestämmelser avseende åtminstone, där så är relevant,

(a) ändamålen med behandlingen eller kategorierna av behandling,

(b) kategorierna av personuppgifter,

(c) omfattningen av den införda begränsningen,

(d) skyddsåtgärder för att förhindra missbruk eller olaglig tillgång eller överföring,

(e) specificeringen av den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga,

(f) lagringstiden och tillämpliga skyddsåtgärder med beaktande av behandlingens art, omfattning och ändamål eller kategorierna av behandling,

(g) riskerna för de registrerades rättigheter och friheter, och

(h) de registrerades rätt att bli informerade om begränsningen, såvida detta inte kan inverka menligt på begränsningens syfte.

Kommissionens förslag

Ändringsförslag

2.  Om en begränsning som inte föreskrivs i en rättsakt som antagits på grundval av fördragen eller genom en intern regel i enlighet med punkt 1, får unionens institutioner och organ begränsa tillämpningen av artiklarna 14–22, 34 och 38, samt artikel 4 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna, i samband med en specifik behandling, och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda ett eller flera av de syften som avses i punkt 1. Begränsningen ska anmälas till det behöriga dataskyddsombudet.

utgår

Kommissionens förslag

Ändringsförslag

3.  Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det i unionsrätten, vilket kan inkludera interna regler, föreskrivas undantag från de rättigheter som avses i artiklarna 17, 18, 20 och 23 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 13 i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller avsevärt svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.

3.  Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det i unionsrätten föreskrivas undantag från de rättigheter som avses i artiklarna 17, 18, 20 och 23 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 13 i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller avsevärt svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.

Kommissionens förslag

Ändringsförslag

4.  Om personuppgifter behandlas för arkivändamål av allmänt intresse får det i unionsrätten, vilket kan inkludera interna regler, föreskrivas undantag från de rättigheter som avses i artiklarna 17, 18, 20, 21, 22 och 23 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 13 i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller avsevärt svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.

4.  Om personuppgifter behandlas för arkivändamål av allmänt intresse får det i unionsrätten föreskrivas undantag från de rättigheter som avses i artiklarna 17, 18, 20, 21, 22 och 23 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 13 i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller avsevärt svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.

Kommissionens förslag

Ändringsförslag

5.  Sådana interna regler som avses i punkterna 1, 3 och 4 ska vara tillräckligt klara och precisa och offentliggöras på lämpligt sätt.

utgår

Kommissionens förslag

Ändringsförslag

6.  Om en begränsning införs i enlighet med punkt 1 eller 2, ska den registrerade i enlighet med unionsrätten informeras om de huvudsakliga skälen till begränsningen och om att han eller hon har rätt att ge in ett klagomål till Europeiska datatillsynsmannen.

6.  Om en begränsning införs i enlighet med punkt 1 ska den registrerade i enlighet med unionsrätten informeras om de huvudsakliga skälen till begränsningen och om att han eller hon har rätt att ge in ett klagomål till Europeiska datatillsynsmannen.

Kommissionens förslag

Ändringsförslag

7.  Om en begränsning som införts i enlighet med punkt 1 eller 2 åberopas för att vägra den registrerade tillgång, ska Europeiska datatillsynsmannen vid utredning av klagomålet endast informera honom eller henne om huruvida uppgifterna har behandlats korrekt och, om så inte är fallet, huruvida alla nödvändiga korrigeringar har gjorts.

7.  Om en begränsning som införts i enlighet med punkt 1 åberopas för att vägra den registrerade tillgång, ska Europeiska datatillsynsmannen vid utredning av klagomålet endast informera honom eller henne om huruvida uppgifterna har behandlats korrekt och, om så inte är fallet, huruvida alla nödvändiga korrigeringar har gjorts.

Kommissionens förslag

Ändringsförslag

8.  Tillhandahållande av den information som avses i punkterna 6 och 7 samt i artikel 46.2 får skjutas upp, utelämnas eller nekas om det skulle upphäva verkan av en begränsning som införts i enlighet med punkt 1 eller 2.

8.  Tillhandahållande av den information som avses i punkterna 6 och 7 samt i artikel 46.2 får skjutas upp, utelämnas eller nekas om det skulle upphäva verkan av en begränsning som införts i enlighet med punkt 1.

Kommissionens förslag

Ändringsförslag

2a.  Tillämpningen av godkända certifieringsmekanismer som avses i artikel 42 i förordning (EU) 2016/679 får användas för att visa att den personuppgiftsansvarige fullgör sina skyldigheter.

Kommissionens förslag

Ändringsförslag

2a.  En godkänd certifieringsmekanism i enlighet med artikel 42 i förordning (EU) 2016/679 får användas för att visa att kraven i punkterna 1 och 2 i den här artikeln följs.

Kommissionens förslag

Ändringsförslag

3.  Den registrerade får utöva sina rättigheter enligt denna förordning med avseende på och gentemot en eller flera av de gemensamt personuppgiftsansvariga, med beaktande av deras roller såsom dessa fastställs i villkoren i det arrangemang som avses i punkt 1.

3.  Oavsett formerna för det arrangemang som avses i punkt 1 får den registrerade utöva sina rättigheter enligt denna förordning med avseende på och gentemot var och en av de personuppgiftsansvariga.

Kommissionens förslag

Ändringsförslag

5.  Unionens institutioner och organ får besluta att bevara sina register över behandling i ett centralt register. I detta fall får de också besluta att göra registret allmänt tillgängligt.

5.  Unionens institutioner och organ ska bevara sina register över behandling i ett centralt register och göra registret allmänt tillgängligt.

Kommissionens förslag

Ändringsförslag

SÄKERHET FÖR PERSONUPPGIFTER OCH KONFIDENTIALITET FÖR ELEKTRONISK KOMMUNIKATION

SÄKERHET FÖR PERSONUPPGIFTER

Kommissionens förslag

Ändringsförslag

3a.  Tillämpning av en godkänd certifieringsmekanism i enlighet med artikel 42 i förordning (EU) 2016/679 får användas för att visa att kraven i punkt 1 i den här artikeln följs.

Kommissionens förslag

Ändringsförslag

Artikel 33a

Anslutning till en godkänd uppförandekod i enlighet med artikel 42 i förordning (EU) 2016/679 får användas för att visa att kraven i punkterna 1 och 2 följs.

Kommissionens förslag

Ändringsförslag

Artikel 34

utgår

Konfidentialitet för elektronisk kommunikation

Unionens institutioner och organ ska säkerställa konfidentiell behandling av uppgifter inom elektronisk kommunikation, särskilt genom att säkra sina elektroniska kommunikationsnät.

Kommissionens förslag

Ändringsförslag

Artikel 36

utgår

Kataloger över användare

1.  Personuppgifter i kataloger och tillgång till sådana kataloger ska begränsas till vad som krävs för de specifika ändamålen med katalogen.

2.  Unionens institutioner och organ ska vidta alla nödvändiga åtgärder för att förhindra att personuppgifter i dessa kataloger, oavsett om de är tillgängliga för allmänheten eller inte, används för direkt marknadsföring.

Kommissionens förslag

Ändringsförslag

KONFIDENTIALITET FÖR ELEKTRONISK KOMMUNIKATION

Kommissionens förslag

Ändringsförslag

Artikel 38a

Konfidentialitet för elektronisk kommunikation

Unionens institutioner och organ ska säkerställa konfidentialitet för elektronisk kommunikation, särskilt genom att säkra sina elektroniska kommunikationsnät.

Kommissionens förslag

Ändringsförslag

Artikel 38b

Kataloger över användare

1. Personuppgifter i kataloger över användare och tillgång till sådana kataloger ska begränsas till vad som är strikt nödvändigt för de specifika ändamålen med katalogen.

2. Unionens institutioner och organ ska vidta alla nödvändiga åtgärder för att förhindra att personuppgifter i dessa kataloger används för direkt marknadsföring, oavsett om de är tillgängliga för allmänheten eller inte.

Kommissionens förslag

Ändringsförslag

Unionens institutioner och organ ska underrätta Europeiska datatillsynsmannen när de utarbetar administrativa åtgärder och interna regler som rör behandling av personuppgifter där en unionsinstitution eller ett unionsorgan deltar, ensamt eller tillsammans med andra.

Unionens institutioner och organ ska underrätta Europeiska datatillsynsmannen när de utarbetar administrativa åtgärder som rör behandling av personuppgifter där en unionsinstitution eller ett unionsorgan deltar, ensamt eller tillsammans med andra.

Kommissionens förslag

Ändringsförslag

1.  Efter antagandet av förslag till en lagstiftningsakt och av rekommendationer eller förslag till rådet i enlighet med artikel 218 i EUF-fördraget och i samband med utarbetandet av delegerade akter eller genomförandeakter vilka har en inverkan på skyddet av enskilda personers rättigheter och friheter med avseende på behandling av personuppgifter, ska kommissionen samråda med Europeiska datatillsynsmannen.

1.  Vid antagandet av förslag till en lagstiftningsakt och av rekommendationer eller förslag till rådet i enlighet med artikel 218 i EUF-fördraget och i samband med utarbetandet av delegerade akter eller genomförandeakter vilka har samband med skyddet av fysiska personers rättigheter och friheter med avseende på behandling av personuppgifter, ska kommissionen samråda med Europeiska datatillsynsmannen.

Kommissionens förslag

Ändringsförslag

4.  Dataskyddsombudet får ingå i unionsinstitutionens eller unionsorganets personal, eller utföra uppgifterna på grundval av ett tjänsteavtal.

4.  Dataskyddsombudet ska ingå i unionsinstitutionens eller unionsorganets personal. I undantagsfall, med hänsyn tagen till deras storlek och om de villkor som anges i punkt 2 inte är uppfyllda, får unionens institutioner och organ utse ett dataskyddsombud som fullgör sina uppgifter på grundval av ett tjänsteavtal.

Kommissionens förslag

Ändringsförslag

5.  Dataskyddsombudet och hans eller hennes personal ska, när det gäller genomförandet av hans eller hennes uppgifter, vara bundet av sekretess eller konfidentialitet i enlighet med unionsrätten.

5.  Dataskyddsombudet ska, när det gäller genomförandet av hans eller hennes uppgifter, vara bundet av sekretess eller konfidentialitet i enlighet med unionsrätten.

Kommissionens förslag

Ändringsförslag

(ga)  säkerställa att de registrerades fri- och rättigheter inte påverkas negativt av behandlingen.

Kommissionens förslag

Ändringsförslag

1.  En överföring av personuppgifter till ett tredjeland eller en internationell organisation får ske om kommissionen enligt artikel 45.3 i förordning (EU) 2016/679 har beslutat att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom det tredjelandet, eller inom den internationella organisationen säkerställer en adekvat skyddsnivå, och personuppgifter överförs uteslutande för att göra det möjligt att utföra uppgifter som omfattas av den personuppgiftsansvariges behörighet.

1.  En överföring av personuppgifter till ett tredjeland eller en internationell organisation får ske om kommissionen enligt artikel 45.3 i förordning (EU) 2016/679 eller artikel 36 i direktiv (EU) 2016/680 har beslutat att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom det tredjelandet, eller inom den internationella organisationen säkerställer en adekvat skyddsnivå, och personuppgifter överförs uteslutande för att göra det möjligt att utföra uppgifter som omfattas av den personuppgiftsansvariges behörighet. Inget särskilt tillstånd ska krävas för en sådan överföring.

Kommissionens förslag

Ändringsförslag

1.  I avsaknad av ett beslut i enlighet med artikel 45.3 i förordning (EU) 2016/679, får en personuppgiftsansvarig eller ett personuppgiftsbiträde överföra personuppgifter till ett tredjeland eller en internationell organisation endast efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga.

1.  I avsaknad av ett beslut i enlighet med artikel 45.3 i förordning (EU) 2016/679 eller artikel 36.3 i direktiv (EU) 2016/680, inom dessa rättsakters respektive tillämpningsområden, får en personuppgiftsansvarig eller ett personuppgiftsbiträde överföra personuppgifter till ett tredjeland eller en internationell organisation endast efter att ha vidtagit lämpliga skyddsåtgärder, och på villkor att lagstadgade rättigheter för registrerade och effektiva rättsmedel för registrerade finns tillgängliga.

Kommissionens förslag

Ändringsförslag

1.  Om det inte föreligger något beslut om enligt artikel 45.3 i förordning (EU) 2016/679 eller lämpliga skyddsåtgärder enligt artikel 49 ska en överföring eller en uppsättning av överföringar av personuppgifter till ett tredjeland eller en internationell organisation ske endast om något av följande villkor är uppfyllt:

1.  Om det inte föreligger något beslut enligt artikel 45.3 i förordning (EU) 2016/679 eller artikel 36.3 i direktiv (EU) 2016/680, inom dessa rättsakters respektive tillämpningsområden, eller lämpliga skyddsåtgärder enligt artikel 49 ska en överföring eller en uppsättning av överföringar av personuppgifter till ett tredjeland eller en internationell organisation ske endast om något av följande villkor är uppfyllt:

Kommissionens förslag

Ändringsförslag

1.  Europaparlamentet och rådet ska i samförstånd utnämna Europeiska datatillsynsmannen för en period av fem år, på grundval av en förteckning som kommissionen upprättat efter en offentlig infordran av intresseanmälningar. Infordran av intresseanmälningar ska göra det möjligt för alla intresserade parter i hela unionen att lämna in sina ansökningar. Den förteckning över kandidater som upprättats av kommissionen ska vara offentlig. På grundval av den förteckning som upprättats av kommissionen får Europaparlamentets behöriga utskott besluta att hålla en utfrågning för att kunna yttra sig om vilken kandidat det föredrar.

1.  Europaparlamentet och rådet ska i samförstånd utnämna Europeiska datatillsynsmannen för en period av fem år, på grundval av en förteckning som Europaparlamentet, rådet och kommissionen upprättat gemensamt efter en offentlig infordran av intresseanmälningar. Infordran av intresseanmälningar ska göra det möjligt för alla intresserade parter i hela unionen att lämna in sina ansökningar. Förteckningen över kandidater ska vara offentlig och bestå av åtminstone fem kandidater. Europaparlamentets behöriga utskott får besluta att hålla en utfrågning med de förtecknade kandidaterna för att kunna yttra sig om vilken kandidat det föredrar.

Kommissionens förslag

Ändringsförslag

2.  Den förteckning som upprättats av kommissionen och från vilken Europeiska datatillsynsmannen ska utses ska bestå av personer vars oberoende är ställt utom varje tvivel och som har den erfarenhet och sakkunskap som krävs för att utöva uppdraget som Europeisk datatillsynsman, exempelvis genom att de tillhör eller har tillhört de tillsynsmyndigheter som har inrättats i enlighet med artikel 41 i förordning (EU) 2016/679.

2.  Den förteckning som upprättats gemensamt av Europaparlamentet, rådet och kommissionen och från vilken Europeiska datatillsynsmannen ska utses ska bestå av personer vars oberoende är ställt utom varje tvivel och som har expertkunskap inom uppgiftsskydd och den erfarenhet och sakkunskap som krävs för att utöva uppdraget som Europeiska datatillsynsmannen, exempelvis genom att de tillhör eller har tillhört de tillsynsmyndigheter som har inrättats i enlighet med artikel 41 i förordning (EU) 2016/679.

Kommissionens förslag

Ändringsförslag

4.  Europeiska datatillsynsmannen ska biträdas av ett sekretariat. Tjänstemän och övriga anställda vid sekretariatet ska utses av Europeiska datatillsynsmannen, som ska vara deras överordnade. De ska endast stå under hans eller hennes ledning. Deras antal ska fastställas varje år inom ramen för budgetförfarandet.

4.  Europeiska datatillsynsmannen ska biträdas av ett sekretariat. Tjänstemän och övriga anställda vid sekretariatet ska utses av Europeiska datatillsynsmannen, som ska vara deras överordnade. De ska endast stå under hans eller hennes ledning. Deras antal ska fastställas varje år inom ramen för budgetförfarandet. Artikel 75.2 i förordning (EU) 2016/679 ska tillämpas på dem bland Europeiska datatillsynsmannens personal som deltar i att utföra de uppgifter som tilldelats Europeiska dataskyddsstyrelsen i unionsrätten.

Kommissionens förslag

Ändringsförslag

(e)  Få tillträde till alla lokaler som tillhör den personuppgiftsansvarige och personuppgiftsbiträdet, inbegripet tillgång till all utrustning och alla andra medel för behandling av personuppgifter i överensstämmelse med unionens processrätt eller medlemsstaternas nationella processrätt.

(e)  Få tillträde till alla lokaler som tillhör den personuppgiftsansvarige och personuppgiftsbiträdet, inbegripet tillgång till all utrustning och alla andra medel för behandling av personuppgifter i överensstämmelse med unionsrätten.

Kommissionens förslag

Ändringsförslag

(ba)  Godkänna eller inte godkänna den behandling som avses i artikel 40.4.

Kommissionens förslag

Ändringsförslag

Samarbete med nationella tillsynsmyndigheter

Samarbete mellan Europeiska datatillsynsmannen och nationella tillsynsmyndigheter

Kommissionens förslag

Ändringsförslag

Europeiska datatillsynsmannen ska samarbeta med de tillsynsmyndigheter som har inrättats i enlighet med artikel 41 i förordning (EU) 2016/679 och artikel 51 i direktiv (EU) 2016/680 (nedan kallade nationella tillsynsmyndigheter) samt med den gemensamma tillsynsmyndighet som inrättats genom artikel 25 i rådets beslut 2009/917/RIF21 i den utsträckning som krävs för att de ska kunna fullgöra sina respektive uppgifter, särskilt genom att ge varandra relevant information, begära att de nationella tillsynsmyndigheterna utövar sina befogenheter eller svara på en begäran från dessa myndigheter.

Europeiska datatillsynsmannen ska samarbeta med de tillsynsmyndigheter som har inrättats i enlighet med artikel 51 i förordning (EU) 2016/679 och artikel 41 i direktiv (EU) 2016/680 (nedan kallade nationella tillsynsmyndigheter) i den utsträckning som krävs för att de ska kunna fullgöra sina respektive uppgifter, särskilt genom att ge varandra relevant information, begära av varandra att utöva sina befogenheter eller svara på varandras begäranden.

_________________

21 Rådets beslut 2009/917/RIF av den 30 november 2009 om användning av informationsteknik för tulländamål, EUT L 323, 10.12.2009, s. 20.

Kommissionens förslag

Ändringsförslag

Europeiska datatillsynsmannen och Europeiska dataskyddsstyrelsen får använda sig av informationssystemet för den inre marknaden, som inrättades genom Europaparlamentets och rådets förordning (EU) nr 1024/2012 av den 25 oktober 2012 om administrativt samarbete genom informationssystemet för den inre marknaden och om upphävande av kommissionens beslut 2008/49/EG (IMI-förordningen), för administrativt samarbete och informationsutbyte i enlighet med artiklarna 60–62, 64, 65 och 70 i förordning (EU) 2016/679.

Kommissionens förslag

Ändringsförslag

1.  Om en unionsakt hänvisar till denna artikel ska Europeiska datatillsynsmannen aktivt samarbeta med de nationella tillsynsmyndigheterna för att säkerställa en effektiv tillsyn över stora it-system eller unionsbyråer.

1.  Om en unionsakt anger att Europeiska datatillsynsmannen utövar tillsyn över behandlingen av personuppgifter på unionsnivå och nationella tillsynsmyndigheter utövar tillsyn över behandlingen av personuppgifter på nationell nivå, ska Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna, inom ramen för sina respektive befogenheter, samarbeta aktivt inom ramen för sina ansvarsområden för att säkerställa en effektiv, samordnad tillsyn över stora it-system eller unionsorgan, unionskontor eller unionsbyråer.

Kommissionens förslag

Ändringsförslag

2.  Europeiska datatillsynsmannen ska inom ramen för sina respektive befogenheter och inom ramen för sitt ansvarsområde utbyta relevant information, bistå i samband med revision och kontroller, utreda problem med tolkningen eller tillämpningen av denna förordning och andra tillämpliga unionsakter, studera problem med att utöva oberoende tillsyn eller problem med de registrerades möjligheter att hävda sina rättigheter, upprätta harmoniserade förslag till lösningar på eventuella problem och främja medvetenheten om dataskyddsrättigheterna, om så behövs, tillsammans med de nationella tillsynsmyndigheterna.

2.  De ska inom ramen för sina respektive befogenheter och inom ramen för sina ansvarsområden utbyta relevant information, bistå varandra i samband med revision och kontroller, utreda problem med tolkningen eller tillämpningen av denna förordning och andra tillämpliga unionsakter, studera problem med att utöva oberoende tillsyn eller problem med de registrerades möjligheter att hävda sina rättigheter, upprätta harmoniserade förslag till lösningar på eventuella problem och främja medvetenheten om dataskyddsrättigheterna, om så behövs.

Kommissionens förslag

Ändringsförslag

3.  För de ändamål som anges i punkt 2 ska Europeiska datatillsynsmannen sammanträda med de nationella tillsynsmyndigheterna minst två gånger om året inom ramen för Europeiska dataskyddsstyrelsen. Europeiska dataskyddsstyrelsen ska stå för kostnaderna för och tillhandahållandet av tjänster i samband med sådana möten. En arbetsordning ska antas vid det första mötet. Ytterligare arbetsmetoder ska utvecklas gemensamt efter behov.

3.  För de ändamål som anges i punkt 2 ska Europeiska datatillsynsmannen och de nationella tillsynsmyndigheterna sammanträda minst två gånger om året inom ramen för Europeiska dataskyddsstyrelsen. Europeiska dataskyddsstyrelsen ska stå för kostnaderna för och tillhandahållandet av tjänster i samband med sådana möten. För dessa ändamål får Europeiska dataskyddsstyrelsen utveckla ytterligare arbetsmetoder efter behov.

Kommissionens förslag

Ändringsförslag

Artikel 69a

Tillämpningsområde

Genom undantag från artiklarna 4, 5, 6, 7, 8, 10, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 41, 43, 49, 50 och 51 ska bestämmelserna i detta kapitel tillämpas på behandling av operativa uppgifter som utförs av unionsbyråer som inrättats på grundval av tredje delen avdelning V kapitlen 4 och 5 i EUF-fördraget och av de uppdrag som avses i artiklarna 42.1, 43 och 44 i EU-fördraget.

Bestämmelser om särskild behandling av operativa personuppgifter som ingår i grundakterna för dessa byråer kan precisera och komplettera tillämpningen av denna förordning.

Kommissionens förslag

Ändringsförslag

Artikel 69b

Principer för behandling av operativa personuppgifter

1.  Vid behandling av operativa personuppgifter ska följande gälla:

(a)  De ska behandlas på ett lagenligt och korrekt sätt (lagenlig och korrekt behandling).

(b)  De ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål, och vidarebehandling får inte ske på ett sätt som är oförenligt med dessa ändamål; vidarebehandling för arkivändamål i allmänhetens intresse, för vetenskapliga eller historiska forskningsändamål eller för statistiska ändamål ska inte anses vara oförenlig med de ursprungliga ändamålen, förutsatt att unionens byråer och uppdrag vidtar lämpliga skyddsåtgärder, särskilt för att säkerställa att uppgifter inte behandlas i några andra syften (ändamålsbegränsning).

(c)  De ska vara adekvata, relevanta och begränsade till vad som är nödvändigt i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).

(d)  De ska vara korrekta och om nödvändigt uppdaterade, och alla rimliga åtgärder måste vidtas för att säkerställa att operativa personuppgifter som, med hänsyn till de ändamål för vilka de behandlas, är felaktiga raderas eller rättas utan dröjsmål (korrekthet).

(e)  De får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka de operativa personuppgifterna behandlas.

(f) De ska behandlas på ett sätt som säkerställer lämplig säkerhet för de operativa personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

2.  Unionens byråer eller uppdrag ska offentliggöra ett dokument som på ett begripligt sätt anger bestämmelserna för behandling av operativa personuppgifter och de medel som står till de registrerades förfogande för att utöva sina rättigheter.

Kommissionens förslag

Ändringsförslag

Kapitel IXa

Översyn

Kommissionens förslag

Ändringsförslag

Artikel 70a

Översynsklausul

1.  Senast den 1 juni 2021 och vart femte år därefter ska kommissionen lägga fram en rapport för Europaparlamentet om tillämpningen av denna förordning, vid behov åtföljd av lämpliga lagstiftningsförslag.

2.  Den efterhandsutvärdering som beskrivs i punkt 1 ska särskilt uppmärksamma lämpligheten i denna förordnings tillämpningsområde och dess överensstämmelse med andra lagstiftningsakter på området för uppgiftsskydd samt i synnerhet bedöma genomförandet av kapitel V i denna förordning.

3.  Senast den 1 juni 2021 och vart femte år därefter ska kommissionen rapportera till Europaparlamentet om tillämpningen av kapitel VIII i denna förordning och de påföljder och sanktioner som tillämpats.

Motivering

För en bättre lagstiftning, och i synnerhet en ändamålsenlig användning av efterhandsutvärderingar för att fånga upp hela lagstiftningscykeln, är det av särskilt intresse att följa införlivandet, genomförandet och efterlevnaden av EU:s lagstiftning, och mer allmänt att övervaka lagstiftningens inverkan, funktion och effektivitet. En heltäckande översynsklausul, med krav på en lämplig utvärdering av förordningens tillämpning, dess tillämpningsområde och det planerade undantaget för befogenheter, liksom proportionerliga rapporteringsskyldigheter, tjänar detta syfte.

Kommissionens förslag

Ändringsförslag

Artikel 70b

Översyn av unionsrättsakter

Kommissionen ska senast den 25 maj 2021 se över andra rättsakter som antagits på grundval av fördragen och som reglerar behandling av personuppgifter, särskilt av byråer inrättade enligt tredje delen avdelning V kapitlen 4 och 5 i EUF-fördraget, i syfte att bedöma om de behöver anpassas till denna förordning, och att i förekommande fall lägga fram ett nödvändigt förslag om ändring av dessa akter för att säkerställa ett enhetligt tillvägagångssätt för skydd av personuppgifter inom denna förordnings tillämpningsområde.

Kommissionens förslag

Ändringsförslag

Artikel 71a

Ändringar av förordning (EG) nr 1987/2006

Europaparlamentets och rådets förordning (EG) nr 1987/20061a ska ändras på följande sätt:

Artikel 46 ska ersättas med följande:

”De nationella tillsynsmyndigheterna och Europeiska datatillsynsmannen ska, inom ramen för sin respektive behörighet, samarbeta med varandra i enlighet med artikel 62 i [ny förordning som ersätter förordning (EG) 45/2001]”.

_________________

1a Europaparlamentets och rådets förordning (EG) nr 1987/2006 av den 20 december 2006 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) (EUT L 381, 28.12.2006, s. 4).

Kommissionens förslag

Ändringsförslag

Artikel 71b

Ändringar av rådets beslut 2007/533/RIF

Rådets beslut 2007/533/RIF1a ska ändras på följande sätt:

Artikel 62 ska ersättas med följande:

”De nationella tillsynsmyndigheterna och Europeiska datatillsynsmannen ska, inom ramen för sin respektive behörighet, samarbeta med varandra i enlighet med artikel 62 i [ny förordning som ersätter förordning (EG) 45/2001]”.

_________________

1a Rådets beslut 2007/533/RIF av den 12 juni 2007 om inrättande, drift och användning av andra generationen av Schengens informationssystem (SIS II) (EUT L 205, 7.8.2007, s. 63).

Kommissionens förslag

Ändringsförslag

Artikel 71c

Ändringar av förordning (EG) nr 767/2008

Europaparlamentets och rådets förordning (EG) nr 767/20081a ska ändras på följande sätt:

Artikel 43 ska ersättas med följande:

”De nationella tillsynsmyndigheterna och Europeiska datatillsynsmannen ska, inom ramen för sin respektive behörighet, samarbeta med varandra i enlighet med artikel 62 i [ny förordning som ersätter förordning (EG) 45/2001]”.

_________________

1a Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen) (EUT L 218, 13.8.2008, s. 60).

Kommissionens förslag

Ändringsförslag

Artikel 71d

Ändringar av rådets förordning (EG) nr 515/97

Rådets förordning (EG) nr 515/971a ska ändras på följande sätt:

I artikel 37 ska punkt 4 ersättas med följande:

”De nationella tillsynsmyndigheterna och Europeiska datatillsynsmannen ska, inom ramen för sin respektive behörighet, samarbeta med varandra i enlighet med artikel 62 i [ny förordning som ersätter förordning (EG) 45/2001]”.

_________________

1a Rådets förordning (EG) nr 515/97 av den 13 mars 1997 om ömsesidigt bistånd mellan medlemsstaternas administrativa myndigheter och om samarbete mellan dessa och kommissionen för att säkerställa en korrekt tillämpning av tull- och jordbrukslagstiftningen (EGT L 82, 22.3.1997, s. 1).

Kommissionens förslag

Ändringsförslag

Artikel 71e

Ändringar av rådets beslut 2009/917/RIF

Rådets beslut 2009/917/RIF1a ska ändras på följande sätt:

(1)  Artikel 25 ska utgå.

(2)  Artikel 26.2 och 26.3 ska ersättas med följande:

”De nationella tillsynsmyndigheterna och Europeiska datatillsynsmannen ska, inom ramen för sin respektive behörighet, samarbeta med varandra i enlighet med artikel 62 i [ny förordning som ersätter förordning (EG) 45/2001]”.

_________________

1a Rådets beslut 2009/917/RIF av den 30 november 2009 om användning av informationsteknik för tulländamål (EUT L 323, 10.12.2009, s. 20).

Kommissionens förslag

Ändringsförslag

Artikel 71f

Ändringar av förordning (EU) nr 1024/2012

Europaparlamentets och rådets förordning (EU) nr 1024/20121a ska ändras på följande sätt:

I artikel 21 ska punkterna 3 och 4 utgå.

_________________

1a Europaparlamentets och rådets förordning (EU) nr 1024/2012 av den 25 oktober 2012 om administrativt samarbete genom informationssystemet för den inre marknaden och om upphävande av kommissionens beslut 2008/49/EG (IMI-förordningen) (EUT L 316, 14.11.2012, s. 1).

Kommissionens förslag

Ändringsförslag

Artikel 71g

Ändring av kommissionens genomförandeförordning (EU) 2015/2447

Kommissionens genomförandeförordning (EU) 2015/24471a ska ändras på följande sätt:

I artikel 83 ska punkt 8 utgå.

_________________

1a Kommissionens genomförandeförordning (EU) 2015/2447 av den 24 november 2015 om närmare regler för genomförande av vissa bestämmelser i Europaparlamentets och rådets förordning (EU) nr 952/2013 om fastställande av en tullkodex för unionen (EUT L 343, 29.12.2015, s. 558).

Kommissionens förslag

Ändringsförslag

Artikel 71h

Ändringar av förordning (EU) nr 2016/794

Europaparlamentets och rådets förordning (EU) nr 2016/7941a ska ändras på följande sätt:

(1)  Artiklarna 25, 28, 30, 36, 37, 40, 41 och 46 ska utgå.

(2)  Artikel 44 ska ersättas med följande:

”De nationella tillsynsmyndigheterna och Europeiska datatillsynsmannen ska, inom ramen för sin respektive behörighet, samarbeta med varandra i enlighet med artikel 62 i [ny förordning som ersätter förordning 45/2001]”.

_________________

1a Europaparlamentets och rådets förordning (EU) 2016/794 av den 11 maj 2016 om Europeiska unionens byrå för samarbete inom brottsbekämpning (Europol) och om ersättande och upphävande av rådets beslut 2009/371/RIF, 2009/934/RIF, 2009/935/RIF, 2009/936/RIF och 2009/968/RIF (EUT L 135, 24.5.2016, s. 53).

Kommissionens förslag

Ändringsförslag

Artikel 71i

Ändringar av rådets förordning (EU) 2017/XX

Rådets förordning (EU) 2017/...1a ska ändras på följande sätt:

(1)  Artiklarna 36e, 36f, 37, 37b, 37c, 37cc, 37ccc, 37d, 37e, 37f, 37g, 37h, 37i, 37j, 37k, 37n, 37o, 41, 41a, 41b, 43a, 43b, 43c, 43d, 43e och 46 ska utgå.

(2)  Artikel 45 ska ersättas med följande:

”De nationella tillsynsmyndigheterna och Europeiska datatillsynsmannen ska, inom ramen för sin respektive behörighet, samarbeta med varandra i enlighet med artikel 62 i [ny förordning som ersätter förordning (EG) 45/2001]”.

_________________

1a Rådets förordning (EU) 2017/... om genomförande av fördjupat samarbete om inrättande av Europeiska åklagarmyndigheten (EPPO) (EUT L ...).

Kommissionens förslag

Ändringsförslag

Artikel 71J

Ändringar av förordning (EU) 2017/XX

Europaparlamentets och rådets förordning (EU) 2017/...1a ska ändras på följande sätt:

(1)  Artiklarna 27, 29, 30, 31, 33, 36 och 37 ska utgå.

(2)  Artikel 35 ska ersättas med följande:

”De nationella tillsynsmyndigheterna och Europeiska datatillsynsmannen ska, inom ramen för sin respektive behörighet, samarbeta med varandra i enlighet med artikel 62 i [ny förordning som ersätter förordning (EG) 45/2001]”.

_________________

1a Europaparlamentets och rådets förordning om Europeiska unionens byrå för straffrättsligt samarbete (Eurojust) (EUT L ...).

Kommissionens förslag

Ändringsförslag

Artikel 71k

Ändringar av Eurodacförordningen (EU) 2017/XX

Europaparlamentets och rådets förordning (EU) 2017/...1a ska ändras på följande sätt:

(1)  Artiklarna 29, 30, 31 och 39 ska utgå.

(2)  Artikel 34 ska ersättas med följande:

”De nationella tillsynsmyndigheterna och Europeiska datatillsynsmannen ska, inom ramen för sin respektive behörighet, samarbeta med varandra i enlighet med artikel 62 i [ny förordning som ersätter förordning (EG) 45/2001]”.

_________________

1a Europaparlamentets och rådets förordning (EU) 2017/... om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av [förordning (EU) nr 604/2013 om kriterier och mekanismer för att avgöra vilken medlemsstat som är ansvarig för att pröva en ansökan om internationellt skydd som en tredjelandsmedborgare eller en statslös person har lämnat in i någon medlemsstat], för identifiering av tredjelandsmedborgare eller statslösa personer som vistas olagligt, och för när medlemsstaternas brottsbekämpande myndigheter och Europol begär jämförelser med Eurodacuppgifter för brottsbekämpande ändamål (EUT L ...).

Kommissionens förslag

Ändringsförslag

(1)  Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och artikel 16.1 i fördraget om Europeiska unionens funktionssätt (nedan kallat EUF-fördraget) föreskriver att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.

(1)  Skyddet för fysiska personer vid behandling av personuppgifter är en grundläggande rättighet. Artikel 8.1 i Europeiska unionens stadga om de grundläggande rättigheterna (nedan kallad stadgan) och artikel 16.1 i fördraget om Europeiska unionens funktionssätt (nedan kallat EUF-fördraget) föreskriver att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Denna rättighet garanteras även i artikel 8 i den europeiska konventionen om de mänskliga rättigheterna.

Kommissionens förslag

Ändringsförslag

(2)  Europaparlamentets och rådets förordning (EG) nr 45/200111 föreskriver verkställbara rättigheter för fysiska personer, anger de skyldigheter i fråga om behandling av personuppgifter som åligger personuppgiftsansvariga inom gemenskapsinstitutionerna och gemenskapsorganen och inrättar en oberoende tillsynsmyndighet, Europeiska datatillsynsmannen, vars uppgift är att övervaka behandlingen av personuppgifter vid unionens institutioner och organ. Den är emellertid inte tillämplig på behandling av personuppgifter som utgör ett led i sådan verksamhet vid unionens institutioner eller organ vilken inte omfattas av unionsrätten.

(2)  Europaparlamentets och rådets förordning (EG) nr 45/200111 föreskriver verkställbara rättigheter för fysiska personer, anger de skyldigheter i fråga om behandling av personuppgifter som åligger personuppgiftsansvariga inom gemenskapsinstitutionerna och gemenskapsorganen och inrättar en oberoende tillsynsmyndighet, Europeiska datatillsynsmannen, vars uppgift är att övervaka behandlingen av personuppgifter vid unionens institutioner och organ. Samtidigt syftar förordning (EG) nr 45/2001 till att uppnå två mål: att skydda den grundläggande rätten till uppgiftsskydd och att garantera det fria flödet av personuppgifter i hela unionen. Den är emellertid inte tillämplig på behandling av personuppgifter som utgör ett led i sådan verksamhet vid unionens institutioner eller organ vilken inte omfattas av unionsrätten.

_________________

_______________

11 Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).

11 Europaparlamentets och rådets förordning (EG) nr 45/2001 av den 18 december 2000 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (EGT L 8, 12.1.2001, s. 1).

Kommissionens förslag

Ändringsförslag

(5)  För att främja en konsekvent strategi för skyddet av personuppgifter i hela unionen och för det fria flödet av personuppgifter inom unionen, är det viktigt att så långt som möjligt anpassa de regler om skydd av personuppgifter som gäller för unionsinstitutioner och unionsorgan till de regler om skydd för personuppgifter som har antagits för den offentliga sektorn i medlemsstaterna. När en bestämmelse i denna förordning bygger på samma koncept som en bestämmelse i förordning (EU) 2016/679 bör dessa båda bestämmelser tolkas enhetligt, särskilt eftersom den systematik som denna förordning bygger på bör uppfattas som en motsvarighet till systematiken bakom förordning (EU) 2016/679.

(5)  För att främja en konsekvent strategi för skyddet av personuppgifter i hela unionen och för det fria flödet av personuppgifter inom unionen är det viktigt att anpassa de regler om skydd av personuppgifter som gäller för unionens institutioner, organ, kontor och byråer till de regler om skydd för personuppgifter som har antagits för den offentliga sektorn i medlemsstaterna. När en bestämmelse i denna förordning bygger på samma koncept som en bestämmelse i förordning (EU) 2016/679 bör dessa båda bestämmelser enligt rättspraxis från Europeiska unionens domstol1a tolkas enhetligt, särskilt eftersom den systematik som denna förordning bygger på bör uppfattas som en motsvarighet till systematiken bakom förordning (EU) 2016/679.

_________________

1a Domstolens dom av den 9 mars 2010, kommissionen/Tyskland, C-518/07, ECLI:EU:C:2010:125, punkterna 26 och 28.

Kommissionens förslag

Ändringsförslag

(10)  Om grundakten för ett unionsorgan som bedriver verksamhet som omfattas av tillämpningsområdet för kapitlen 4 och 5 i avdelning V i fördraget föreskriver ett fristående system för uppgiftsskydd vad avser behandlingen av operativa personuppgifter, bör detta system inte påverkas av denna förordning. Kommissionen bör dock, i enlighet med artikel 62 i direktiv (EU) 2016/680, senast den 6 maj 2019 se över unionsakter som reglerar behandling som utförs av behöriga myndigheter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot samt förebygga hot mot den allmänna säkerheten och, när så är lämpligt, lägga fram nödvändiga förslag till ändring av dessa rättsakter för att säkerställa ett enhetligt tillvägagångssätt för att skydda personuppgifter inom området för straffrättsligt samarbete och polissamarbete.

(10)  Om grundakten för ett unionsorgan som bedriver verksamhet som omfattas av tillämpningsområdet för kapitlen 4 och 5 i avdelning V i fördraget föreskriver ett fristående system för uppgiftsskydd vad avser behandlingen av operativa personuppgifter, bör detta system inte påverkas av denna förordning, så länge som det överensstämmer med bestämmelserna i förordning (EU) 2016/679. Kommissionen bör dock, i enlighet med artikel 62 i direktiv (EU) 2016/680, senast den 6 maj 2019 se över unionsakter som reglerar behandling som utförs av behöriga myndigheter i syfte att förebygga, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive skydda mot samt förebygga hot mot den allmänna säkerheten och, när så är lämpligt, lägga fram nödvändiga förslag till ändring av dessa rättsakter för att säkerställa ett enhetligt tillvägagångssätt för att skydda personuppgifter inom området för straffrättsligt samarbete och polissamarbete.

Motivering

Alla system för skydd av personuppgifter måste vara förenliga med den allmänna dataskyddsförordningen.

Kommissionens förslag

Ändringsförslag

(14)  Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne, t.ex. en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en webbplats, genom val av inställningsalternativ för informationssamhällets tjänster eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter. Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke ges för samtliga syften. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser.

(14)  Samtycke bör lämnas genom en entydig bekräftande handling som innebär ett frivilligt, specifikt, informerat och otvetydigt medgivande från den registrerades sida om att denne godkänner behandling av personuppgifter rörande honom eller henne, t.ex. en skriftlig, inklusive elektronisk, eller muntlig förklaring. Detta kan inbegripa att en ruta kryssas i vid besök på en webbplats, genom val av inställningsalternativ för informationssamhällets tjänster eller genom någon annan förklaring eller något annat beteende som i sammanhanget tydligt visar att den registrerade godtar den avsedda behandlingen av sina personuppgifter. Tystnad, på förhand ikryssade rutor eller inaktivitet bör därför inte utgöra samtycke. Samtycket bör gälla all behandling som utförs för samma ändamål. Om behandlingen tjänar flera olika syften, bör samtycke ges för samtliga syften. Om den registrerade ska lämna sitt samtycke efter en elektronisk begäran, måste denna vara tydlig och koncis och får inte onödigtvis störa användningen av den tjänst som den avser. Samtidigt bör den registrerade ha rätt att när som helst dra tillbaka sitt samtycke, utan att detta påverkar lagligheten hos behandling på grundval av detta samtycke innan det drogs tillbaka.

Kommissionens förslag

Ändringsförslag

(18)  De unionsrättsliga och de interna regler som det hänvisas till i denna förordning bör vara tydliga och precisa och deras tillämpning bör vara förutsägbar för personer som omfattas av dem, i enlighet med rättspraxis från Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna.

(18)  De unionsrättsliga reglerna bör vara tydliga och precisa, och deras tillämpning bör vara förutsägbar för personer som omfattas av dem, i enlighet med rättspraxis från Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna.

Kommissionens förslag

Ändringsförslag

(23)  Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Dessa personuppgifter bör även inbegripa personuppgifter som avslöjar ras eller etniskt ursprung, varvid användningen av termen ras i denna förordning inte innebär att unionen godtar teorier som söker fastställa förekomsten av skilda människoraser. Behandling av foton bör inte systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton definieras som biometriska uppgifter endast när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Utöver de särskilda kraven för behandling av känsliga uppgifter bör de allmänna principerna och andra bestämmelser i denna förordning tillämpas, särskilt när det gäller villkoren för laglig behandling. Undantag från det allmänna förbudet att behandla sådana särskilda kategorier av personuppgifter bör uttryckligen fastställas, bland annat om den registrerade lämnar sitt uttryckliga samtycke eller för att tillgodose specifika behov, i synnerhet när behandlingen utförs inom ramen för legitima verksamheter som bedrivs av vissa sammanslutningar eller stiftelser i syfte att göra det möjligt att utöva grundläggande friheter.

(23)  Personuppgifter som till sin natur är särskilt känsliga med hänsyn till grundläggande rättigheter och friheter bör åtnjuta särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna. Sådana personuppgifter bör inte behandlas såvida behandling inte är tillåten i särskilda fall som anges i denna förordning. Dessa personuppgifter bör även inbegripa personuppgifter som avslöjar ras eller etniskt ursprung, varvid användningen av termen ras i denna förordning inte innebär att unionen godtar teorier som söker fastställa förekomsten av skilda människoraser. Behandling av foton bör inte systematiskt anses utgöra behandling av särskilda kategorier av personuppgifter, eftersom foton definieras som biometriska uppgifter endast när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person. Utöver de särskilda kraven för behandling av känsliga uppgifter bör de allmänna principerna och andra bestämmelser i denna förordning tillämpas, särskilt när det gäller villkoren för laglig behandling. Undantag från det allmänna förbudet att behandla sådana särskilda kategorier av personuppgifter bör uttryckligen fastställas, bland annat om den registrerade lämnar sitt uttryckliga samtycke eller för att tillgodose specifika behov, i synnerhet när behandlingen utförs inom ramen för legitima verksamheter som bedrivs av vissa sammanslutningar eller stiftelser i syfte att göra det möjligt att utöva grundläggande friheter.

Kommissionens förslag

Ändringsförslag

(23a)  Särskilda kategorier av personuppgifter som förtjänar ett mer omfattande skydd bör behandlas i hälsorelaterade syften endast där detta krävs för att uppnå dessa syften och gagnar fysiska personer och samhället i stort, särskilt inom ramen för förvaltningen av tjänster och system för hälso- och sjukvård eller social omsorg. Denna förordning bör därför innehålla harmoniserade villkor för behandling av särskilda kategorier av personuppgifter som rör hälsa, vad gäller särskilda behov, i synnerhet när behandlingen av uppgifterna utförs för vissa hälsorelaterade syften av personer som enligt lag omfattas av tystnadsplikt. Särskilda och lämpliga åtgärder som skyddar fysiska personers grundläggande rättigheter och personuppgifter bör föreskrivas i unionsrätten.

Kommissionens förslag

Ändringsförslag

(24)  På folkhälsoområdet kan det bli nödvändigt att med hänsyn till allmänintresset behandla särskilda kategorier av personuppgifter utan att den registrerades samtycke inhämtas. Sådan behandling bör förutsätta lämpliga och särskilda åtgärder för att skydda fysiska personers rättigheter och friheter. I detta sammanhang bör folkhälsa tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/200815, nämligen alla aspekter som rör hälsosituationen, dvs. hälsotillstånd, inbegripet sjuklighet och funktionsnedsättning, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker. Sådan behandling av uppgifter om hälsa av allmänt intresse bör inte innebära att personuppgifter behandlas för andra ändamål av tredje part.

(24)  På folkhälsoområdet kan det bli nödvändigt att med hänsyn till allmänintresset behandla särskilda kategorier av personuppgifter utan att den registrerades samtycke inhämtas. Sådan behandling bör förutsätta proportionerliga, lämpliga och särskilda åtgärder för att skydda fysiska personers rättigheter och friheter. I detta sammanhang bör folkhälsa tolkas enligt definitionen i Europaparlamentets och rådets förordning (EG) nr 1338/200815, nämligen alla aspekter som rör hälsosituationen, dvs. hälsotillstånd, inbegripet sjuklighet och funktionsnedsättning, hälsans bestämningsfaktorer, hälso- och sjukvårdsbehov, resurser inom hälso- och sjukvården, tillhandahållande av och allmän tillgång till hälso- och sjukvård, utgifter för och finansiering av hälso- och sjukvården samt dödsorsaker. Sådan behandling av uppgifter om hälsa av allmänt intresse bör inte leda till vidarebehandling för andra ändamål.

_________________

_________________

15 Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet (EUT L 354, 31.12.2008, s. 70).

15 Europaparlamentets och rådets förordning (EG) nr 1338/2008 av den 16 december 2008 om gemenskapsstatistik om folkhälsa och hälsa och säkerhet i arbetet (EUT L 354, 31.12.2008, s. 70).

Motivering

Uppgifter om hälsa är särskilt känsliga, och behandlingen av sådana känsliga uppgifter behöver specifikt begränsas till det absolut nödvändiga. Sådana uppgifter får i synnerhet inte hamna hos tredje parter som skulle kunna vidarebehandla dem.

Kommissionens förslag

Ändringsförslag

Rättsakter som antagits på grundval av fördragen eller interna regler vid unionens institutioner och organ får föreskriva begränsningar med avseende på specifika principer och med avseende på rätt till information, tillgång till och rättelse eller radering av personuppgifter, rätt till dataportabilitet, konfidentiell behandling av uppgifter inom elektronisk kommunikation, underrättelse om en personuppgiftsincident till den registrerade och vissa därmed sammanhängande skyldigheter för personuppgiftsansvariga, i den utsträckning åtgärden är nödvändig och proportionerlig i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten, förebygga, utreda och lagföra brott eller verkställa straffrättsliga påföljder, inbegripet skydd mot samt förebyggande av hot mot den allmänna säkerheten, däribland skydd av människoliv, särskilt vid naturkatastrofer eller katastrofer orsakade av människan, den inre säkerheten för unionsinstitutioner och unionsorgan, andra viktiga mål av allmänt intresse för hela unionen eller en medlemsstat, i synnerhet ett viktigt ekonomiskt eller finansiellt intresse för unionen eller en medlemsstat, förande av offentliga register som förs av hänsyn till ett allmänt intresse eller skydd av den registrerade eller andras rättigheter och friheter, inklusive socialt skydd, folkhälsa och humanitära skäl.

Rättsakter som antagits på grundval av fördragen får föreskriva begränsningar med avseende på specifika principer och rätten till information, tillgång till och rättelse eller radering av personuppgifter, rätten till dataportabilitet samt underrättelse om en personuppgiftsincident till den registrerade och vissa därmed sammanhängande skyldigheter för personuppgiftsansvariga, i den utsträckning åtgärden är nödvändig och proportionerlig i ett demokratiskt samhälle för att upprätthålla den allmänna säkerheten, förebygga, utreda och lagföra brott eller verkställa straffrättsliga påföljder, inbegripet skydd mot samt förebyggande av hot mot den allmänna säkerheten, däribland skydd av människoliv, särskilt vid naturkatastrofer eller katastrofer orsakade av människan, den inre säkerheten för unionsinstitutioner och unionsorgan, andra viktiga mål av allmänt intresse för unionen eller en medlemsstat, i synnerhet ett viktigt ekonomiskt eller finansiellt intresse för unionen eller en medlemsstat, förande av offentliga register i allmänhetens intresse eller skydd av den registrerade eller andras rättigheter och friheter, inklusive socialt skydd, folkhälsa och humanitära skäl.

Kommissionens förslag

Ändringsförslag

Även om en begränsning inte föreskrivs i rättsakter som antagits på grundval av fördragen eller i interna regler vid unionens institutioner och organ, får unionsinstitutioner och unionsorgan i specifika fall införa en tillfällig begränsning avseende särskilda principer och den registrerades rättigheter om begränsningen sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och, med avseende på en specifik behandling, utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa ett eller flera av de ändamål som anges i punkt 1. Begränsningen bör anmälas till dataskyddsombudet. Alla begränsningar bör överensstämma med kraven i stadgan och den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna.

utgår

Kommissionens förslag

Ändringsförslag

(42)  För att visa att denna förordning följs bör personuppgiftsansvariga föra register över sådan uppgiftsbehandling som de ansvarar för, och personuppgiftsbiträden bör föra register över kategorier av uppgiftsbehandling som de ansvarar för. Unionens institutioner och organ bör vara skyldiga att samarbeta med Europeiska datatillsynsmannen och på begäran göra sina register tillgängliga för denne, så att de kan tjäna som grund för övervakningen av behandlingen. Unionens institutioner och organ bör ha möjlighet att inrätta ett centralt register över sin uppgiftsbehandling. Av öppenhetsskäl bör de också kunna göra ett sådant register offentligt.

(42)  För att visa att denna förordning följs bör personuppgiftsansvariga föra register över sådan uppgiftsbehandling som de ansvarar för, och personuppgiftsbiträden bör föra register över kategorier av uppgiftsbehandling som de ansvarar för. Unionens institutioner och organ bör vara skyldiga att samarbeta med Europeiska datatillsynsmannen och på begäran göra sina register tillgängliga för denne, så att de kan tjäna som grund för övervakningen av behandlingen. Unionens institutioner och organ bör ha möjlighet att inrätta ett centralt register över sin uppgiftsbehandling. Av öppenhetsskäl bör de göra ett sådant register offentligt. De registrerade bör ha möjlighet att ta del av detta register via den personuppgiftsansvariges dataskyddsombud.

Kommissionens förslag

Ändringsförslag

(46)  Den personuppgiftsansvarige bör utan onödigt dröjsmål underrätta den registrerade om en personuppgiftsincident, om personuppgiftsincidenten sannolikt kommer att medföra en hög risk för den fysiska personens rättigheter och friheter, så att denne kan vidta nödvändiga försiktighetsåtgärder. Denna underrättelse bör beskriva personuppgiftsincidentens art samt innehålla rekommendationer för den berörda fysiska personen om hur de potentiella negativa effekterna kan mildras. De registrerade bör underrättas så snart detta rimligtvis är möjligt, i nära samarbete med Europeiska datatillsynsmannen och i enlighet med den vägledning som lämnats av denne eller av andra relevanta myndigheter såsom brottsbekämpande myndigheter.

(46)  Den personuppgiftsansvarige bör utan onödigt dröjsmål underrätta den registrerade om en personuppgiftsincident, om personuppgiftsincidenten sannolikt kommer att medföra en hög risk för den fysiska personens rättigheter och friheter, så att denne kan vidta nödvändiga försiktighetsåtgärder. Denna underrättelse bör vara konfidentiell och beskriva personuppgiftsincidentens art samt innehålla rekommendationer till den berörda fysiska personen om hur de potentiella negativa effekterna kan mildras. De registrerade bör underrättas så snart detta rimligtvis är möjligt, i nära samarbete med Europeiska datatillsynsmannen och i enlighet med den vägledning som lämnats av denne eller av andra relevanta myndigheter såsom brottsbekämpande myndigheter.

Kommissionens förslag

Ändringsförslag

(52)  Den skyddsnivå för fysiska personer som säkerställs inom unionen genom denna förordning bör inte urholkas när personuppgifter överförs från unionens institutioner och organ till personuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare i tredjeländer eller till internationella organisationer, vilket inbegriper vidarebefordran av personuppgifter från tredjelandet till personuppgiftsansvariga och personuppgiftsbiträden i samma eller ett annat tredjeland eller från den internationella organisationen till samma eller en annan internationell organisation. Överföringar till tredjeländer och internationella organisationer får under alla omständigheter endast utföras i full överensstämmelse med denna förordning. En överföring får ske endast om de villkor som fastställs i bestämmelserna i denna förordning om överföring av personuppgifter till tredjeländer eller internationella organisationer uppfylls av den personuppgiftsansvarige eller personuppgiftsbiträdet, med förbehåll för de övriga bestämmelserna i denna förordning.

(52)  Den skyddsnivå för fysiska personer som säkerställs inom unionen genom denna förordning bör garanteras när personuppgifter överförs från unionens institutioner och organ till personuppgiftsansvariga, personuppgiftsbiträden eller andra mottagare i tredjeländer eller till internationella organisationer, vilket inbegriper vidarebefordran av personuppgifter från tredjelandet till personuppgiftsansvariga och personuppgiftsbiträden i samma eller ett annat tredjeland eller från den internationella organisationen till samma eller en annan internationell organisation. Överföringar till tredjeländer och internationella organisationer får under alla omständigheter utföras endast i full överensstämmelse med denna förordning, förordning (EU) 2016/679 och de grundläggande rättigheterna och friheterna enligt stadgan. En överföring får ske endast om de villkor som fastställs i bestämmelserna i denna förordning om överföring av personuppgifter till tredjeländer eller internationella organisationer uppfylls av den personuppgiftsansvarige eller personuppgiftsbiträdet, med förbehåll för de övriga bestämmelserna i denna förordning.

Kommissionens förslag

Ändringsförslag

(54)  Saknas beslut om adekvat skyddsnivå bör den personuppgiftsansvarige eller personuppgiftsbiträdet vidta åtgärder för att kompensera för det bristande dataskyddet i ett tredjeland med hjälp av lämpliga skyddsåtgärder för den registrerade. Sådana lämpliga skyddsåtgärder kan bestå i tillämpning av standardbestämmelser om uppgiftsskydd som antagits av kommissionen, standardbestämmelser om uppgiftsskydd som antagits av Europeiska datatillsynsmannen eller avtalsbestämmelser som godkänts av Europeiska datatillsynsmannen. Om personuppgiftsbiträdet inte är en unionsinstitution eller ett unionsorgan kan dessa lämpliga skyddsåtgärder också bestå av bindande företagsregler, uppförandekoder och certifieringsmekanismer som används för internationella överföringar enligt förordning (EU) 2016/679. Dessa skyddsåtgärder bör säkerställa iakttagande av de krav i fråga om uppgiftsskydd och registrerades rättigheter som är lämpliga för behandling inom unionen, inbegripet huruvida bindande rättigheter för de registrerade och effektiva rättsmedel är tillgängliga, inbegripet en faktisk rätt att föra talan på administrativ väg eller inför domstol och att kräva kompensation i unionen eller i ett tredjeland. De bör särskilt gälla överensstämmelse med allmänna principer för behandling av personuppgifter samt principerna om inbyggt uppgiftsskydd och uppgiftsskydd som standard. Uppgifter kan också överföras av unionsinstitutioner och unionsorgan eller organ till offentliga myndigheter eller organ i tredjeländer eller internationella organisationer med motsvarande skyldigheter eller uppgifter, inbegripet på grundval av bestämmelser som ska införas i administrativa överenskommelser, t.ex. samförståndsavtal, som föreskriver verkställbara och faktiska rättigheter för de registrerade. Tillstånd från Europeiska datatillsynsmannen bör erhållas när skyddsåtgärder föreskrivs i icke rättsligt bindande administrativa arrangemang.

utgår

Kommissionens förslag

Ändringsförslag

1.  I denna förordning fastställs regler om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ, kontor och byråer samt om det fria flödet av personuppgifter dem emellan eller till mottagare som är etablerade i unionen och omfattas av förordning (EU) 2016/67918 eller de bestämmelser i nationell rätt som antagits i enlighet med direktiv (EU) 2016/68019.

1.  I denna förordning fastställs regler om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer samt om det fria flödet av personuppgifter dem emellan eller till mottagare som är etablerade i unionen.

_________________

18 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (text av betydelse för EES), EUT L 119, 4.5.2016, s. 1.

19 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, EUT L 119, 4.5.2016, s. 89.

Kommissionens förslag

Ändringsförslag

2.  Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.

2.  Denna förordning skyddar fysiska personers grundläggande rättigheter och friheter enligt stadgan, särskilt deras rätt till skydd av personuppgifter.

Kommissionens förslag

Ändringsförslag

2a.  Denna förordning ska också tillämpas på unionsbyråer som bedriver verksamhet som omfattas av tillämpningsområdet för tredje delen avdelning V kapitlen 4 och 5 i EUF-fördraget, även när det i grundakterna för dessa unionsbyråer fastställs ett fristående system för uppgiftsskydd i fråga om behandlingen av operativa personuppgifter. Bestämmelserna i denna förordning ska ha företräde framför motstridiga bestämmelser i grundakterna för dessa unionsbyråer.

Kommissionens förslag

Ändringsförslag

d)  De ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).

(Berör inte den svenska versionen.)  

Kommissionens förslag

Ändringsförslag

Villkor som gäller barns samtycke avseende informationssamhällets tjänster

(Berör inte den svenska versionen.)

Motivering

(Berör inte den svenska versionen.)

Kommissionens förslag

Ändringsförslag

Överföring av personuppgifter till andra mottagare än unionens institutioner och organ vilka är etablerade i unionen och omfattas av förordning (EU) 2016/679 eller direktiv (EU) 2016/680

Överföring av personuppgifter till andra mottagare än unionens institutioner och organ vilka är etablerade i unionen

Kommissionens förslag

Ändringsförslag

b)  att det är nödvändigt att uppgifterna överförs, det råder proportionalitet i förhållande till syftet med överföringen och det saknas skäl att anta att den registrerades legitima intressen skulle kunna skadas.

b)  att det är strikt nödvändigt att uppgifterna överförs med beaktande av mottagarens mål och att det inte finns några skäl att anta att den registrerades legitima intressen skulle kunna skadas på grund av den begärda uppgiftsöverföringen eller den vidare användning av personuppgifterna genom mottagaren som rimligen kan förväntas.

Kommissionens förslag

Ändringsförslag

Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 5.1 får endast utföras om behandlingen är tillåten enligt unionsrätten, vilket kan inbegripa interna regler, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.

Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser eller därmed sammanhängande säkerhetsåtgärder enligt artikel 5.1 får endast utföras om behandlingen är tillåten enligt unionsrätten, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.

Kommissionens förslag

Ändringsförslag

b)  tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, eller i den mån den skyldighet som avses i punkt 1 i denna artikel sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen.

b)  tillhandahållandet av sådan information visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, eller i den mån den skyldighet som avses i punkt 1 i denna artikel sannolikt kommer att göra det omöjligt eller avsevärt försvårar uppfyllandet av målen med den behandlingen. I sådana fall ska den personuppgiftsansvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och berättigade intresse, däribland att göra informationen allmänt tillgänglig,

Kommissionens förslag

Ändringsförslag

1.  Rättsakter som antas på grundval av fördragen eller, när det gäller frågor rörande unionens institutioners och organs funktion, interna regler som införts av de sistnämnda får föreskriva begränsningar i tillämpningen av artiklarna 14–22, 34 och 38, samt artikel 4 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa

1.  Rättsakter som antas på grundval av fördragen får föreskriva begränsningar i tillämpningen av artiklarna 14–22, 34 och 38, samt artikel 4 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa

Motivering

Syftet med ändringsförslaget är att anpassa bestämmelserna i denna förordning till bestämmelserna i den allmänna dataskyddsförordningen, i överensstämmelse med yttrandet från Europeiska datatillsynsmannen.

Kommissionens förslag

Ändringsförslag

1a.  I synnerhet ska alla rättsakter som avses i punkt 1 innehålla specifika bestämmelser avseende åtminstone, där så är relevant,

a)   ändamålen med behandlingen eller kategorierna av behandling,

b)   kategorierna av personuppgifter,

c)   omfattningen av den införda begränsningen,

d)   skyddsåtgärder för att förhindra missbruk eller olaglig åtkomst eller överföring,

e)   närmare uppgifter om den personuppgiftsansvarige eller kategorierna av personuppgiftsansvariga,

f)   lagringstiden samt tillämpliga skyddsåtgärder med beaktande av behandlingens eller behandlingskategoriernas art, omfattning och ändamål,

g)   riskerna för de registrerades rättigheter och friheter, och

h)   de registrerades rätt att informeras om begränsningen, såvida detta inte kan inverka menligt på begränsningen.

Kommissionens förslag

Ändringsförslag

2.  Om en begränsning som inte föreskrivs i en rättsakt som antagits på grundval av fördragen eller genom en intern regel i enlighet med punkt 1, får unionens institutioner och organ begränsa tillämpningen av artiklarna 14–22, 34 och 38, samt artikel 4 i den mån dess bestämmelser motsvarar de rättigheter och skyldigheter som fastställs i artiklarna 14–22, om en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna, i samband med en specifik behandling, och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda ett eller flera av de syften som avses i punkt 1. Begränsningen ska anmälas till det behöriga dataskyddsombudet.

utgår

Kommissionens förslag

Ändringsförslag

3.  Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det i unionsrätten, vilket kan inkludera interna regler, föreskrivas undantag från de rättigheter som avses i artiklarna 17, 18, 20 och 23 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 13 i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller avsevärt svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.

3.  Om personuppgifter behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det i unionsrätten föreskrivas undantag från de rättigheter som avses i artiklarna 17, 18, 20 och 23 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 13 i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller avsevärt svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.

Kommissionens förslag

Ändringsförslag

4.  Om personuppgifter behandlas för arkivändamål av allmänt intresse får det i unionsrätten, vilket kan inkludera interna regler, föreskrivas undantag från de rättigheter som avses i artiklarna 17, 18, 20, 21, 22 och 23 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 13 i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller avsevärt svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.

4.  Om personuppgifter behandlas för arkivändamål av allmänt intresse får det i unionsrätten föreskrivas undantag från de rättigheter som avses i artiklarna 17, 18, 20, 21, 22 och 23 med förbehåll för de villkor och skyddsåtgärder som avses i artikel 13 i den utsträckning som sådana rättigheter sannolikt kommer att göra det omöjligt eller avsevärt svårare att uppfylla de särskilda ändamålen, och sådana undantag krävs för att uppnå dessa ändamål.

Kommissionens förslag

Ändringsförslag

5.  Sådana interna regler som avses i punkterna 1, 3 och 4 ska vara tillräckligt klara och precisa och offentliggöras på lämpligt sätt.

utgår

Kommissionens förslag

Ändringsförslag

6.  Om en begränsning införs i enlighet med punkt 1 eller 2, ska den registrerade i enlighet med unionsrätten informeras om de huvudsakliga skälen till begränsningen och om att han eller hon har rätt att ge in ett klagomål till Europeiska datatillsynsmannen.

6.  Om en begränsning införs i enlighet med punkt 1 ska den registrerade i enlighet med unionsrätten informeras om de huvudsakliga skälen till begränsningen och om att han eller hon har rätt att ge in ett klagomål till Europeiska datatillsynsmannen.

Kommissionens förslag

Ändringsförslag

7.  Om en begränsning som införts i enlighet med punkt 1 eller 2 åberopas för att vägra den registrerade tillgång, ska Europeiska datatillsynsmannen vid utredning av klagomålet endast informera honom eller henne om huruvida uppgifterna har behandlats korrekt och, om så inte är fallet, huruvida alla nödvändiga korrigeringar har gjorts.

7.  Om en begränsning som införts i enlighet med punkt 1 åberopas för att vägra den registrerade tillgång, ska Europeiska datatillsynsmannen vid utredning av klagomålet endast informera honom eller henne om huruvida uppgifterna har behandlats korrekt och, om så inte är fallet, huruvida alla nödvändiga korrigeringar har gjorts.

Kommissionens förslag

Ändringsförslag

8.  Tillhandahållande av den information som avses i punkterna 6 och 7 samt i artikel 46.2 får skjutas upp, utelämnas eller nekas om det skulle upphäva verkan av en begränsning som införts i enlighet med punkt 1 eller 2.

8.  Tillhandahållande av den information som avses i punkterna 6 och 7 samt i artikel 46.2 får skjutas upp, utelämnas eller nekas om det skulle upphäva verkan av en begränsning som införts i enlighet med punkt 1.

Kommissionens förslag

Ändringsförslag

5.  Unionens institutioner och organ får besluta att bevara sina register över behandling i ett centralt register. I detta fall får de också besluta att göra registret allmänt tillgängligt.

5.  Unionens institutioner och organ ska bevara sina register över behandling i ett centralt register. Av öppenhetsskäl bör de också göra ett sådant register offentligt, så att den berörda personen kan ta del av det utan att detta påverkar andra berörda parters rättigheter.

Kommissionens förslag

Ändringsförslag

5a.  De registrerade ska kunna ta del av det centrala register som avses i punkt 5 via den personuppgiftsansvariges dataskyddsombud.

Kommissionens förslag

Ändringsförslag

Unionens institutioner och organ ska säkerställa konfidentialiteten vid elektronisk kommunikation, i synnerhet genom att säkra sina elektroniska kommunikationsnät.

Unionens institutioner och organ ska säkerställa konfidentialiteten vid elektronisk kommunikation i enlighet med förordning (EU) 2017/XXXX.

Motivering

Det särskilda lagstiftningsförslaget om konfidentialitet vid elektronisk kommunikation kommer att bli den förordning som bygger på kommissionens förslag COM(2017)0010 och bör därför anges.

Kommissionens förslag

Ändringsförslag

Artikel 36

utgår

Kataloger över användare

1.   Personuppgifter i kataloger över användare och tillgång till sådana kataloger ska begränsas till vad som är strikt nödvändigt för de specifika ändamålen med katalogen.

2.   Unionens institutioner och organ ska vidta alla nödvändiga åtgärder för att förhindra att personuppgifter i dessa kataloger, oavsett om de är tillgängliga för allmänheten eller inte, används för direkt marknadsföring.

Kommissionens förslag

Ändringsförslag

2.  När en akt som avses i punkt 1 är av särskild betydelse för skyddet av enskilda personers rättigheter och friheter med avseende på behandling av personuppgifter, får kommissionen även samråda med Europeiska dataskyddsstyrelsen. I sådana fall ska Europeiska datatillsynsmannen och Europeiska dataskyddsstyrelsen samordna sitt arbete i syfte att utfärda ett gemensamt yttrande.

2.  När en akt som avses i punkt 1 är av särskild betydelse för skyddet av enskilda personers rättigheter och friheter med avseende på behandling av personuppgifter, ska kommissionen samråda även med Europeiska dataskyddsstyrelsen. I sådana fall ska Europeiska datatillsynsmannen och Europeiska dataskyddsstyrelsen samordna sitt arbete i syfte att utfärda ett gemensamt yttrande.

Kommissionens förslag

Ändringsförslag

4.  Dataskyddsombudet får ingå i unionsinstitutionens eller unionsorganets personal, eller utföra uppgifterna på grundval av ett tjänsteavtal.

4.  Dataskyddsombudet ska ingå i personalen hos unionens institution, organ, kontor eller byrå.

Motivering

Outsourcing av ett uppgiftsskyddsombud förefaller inte lämplig för en unionsinstitution.

Kommissionens förslag

Ändringsförslag

(ba)  Se till att de registrerades grundläggande rättigheter och friheter inte påverkas negativt av behandlingen.

Kommissionens förslag

Ändringsförslag

1.  En överföring av personuppgifter till ett tredjeland eller en internationell organisation får ske om kommissionen enligt artikel 45.3 i förordning (EU) 2016/679 har beslutat att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom det tredjelandet, eller inom den internationella organisationen säkerställer en adekvat skyddsnivå, och personuppgifter överförs uteslutande för att göra det möjligt att utföra uppgifter som omfattas av den personuppgiftsansvariges behörighet.

1.  En överföring av personuppgifter till ett tredjeland eller en internationell organisation får ske om kommissionen i enlighet med artikel 45.3 i förordning (EU) 2016/679 har antagit en genomförandeakt som stadgar att ett tredjeland, ett territorium eller en eller flera specificerade sektorer inom det tredjelandet eller inom den internationella organisationen säkerställer en adekvat skyddsnivå och personuppgifterna överförs uteslutande för att göra det möjligt att utföra uppgifter som omfattas av den personuppgiftsansvariges behörighet. Genomförandeakten ska föreskriva en mekanism för regelbunden översyn, minst vart fjärde år, som ska beakta all relevant utveckling i tredjelandet eller den internationella organisationen. I genomförandeakten ska den territoriella och sektorsspecifika tillämpningen anges närmare och tillsynsmyndigheten fastställas. Kapitel V i förordning (EU) 2016/679 ska vara tillämpligt.

Motivering

Bestämmelserna om överföring av personuppgifter till tredjeländer eller institutioner i tredjeländer måste stämma överens med relevanta bestämmelser i den allmänna dataskyddsförordningen, så att det inte skapas några kryphål eller rättsliga inkonsekvenser. I synnerhet bör översynsmekanismen betonas.

Kommissionens förslag

Ändringsförslag

1.  Europaparlamentet och rådet ska i samförstånd utnämna Europeiska datatillsynsmannen för en period av fem år, på grundval av en förteckning som kommissionen upprättat efter en offentlig infordran av intresseanmälningar. Infordran av intresseanmälningar ska göra det möjligt för alla intresserade parter i hela unionen att lämna in sina ansökningar. Den förteckning över kandidater som upprättats av kommissionen ska vara offentlig. På grundval av den förteckning som upprättats av kommissionen får Europaparlamentets behöriga utskott besluta att hålla en utfrågning för att kunna yttra sig om vilken kandidat det föredrar.

1.  Europaparlamentet och rådet ska i samförstånd utnämna Europeiska datatillsynsmannen för en period av fem år, på grundval av en förteckning som Europaparlamentet, rådet och kommissionen upprättat gemensamt efter en offentlig infordran av intresseanmälningar. Infordran av intresseanmälningar ska göra det möjligt för alla intresserade parter i hela unionen att lämna in sina ansökningar. Förteckningen över kandidater ska vara offentlig och bestå av åtminstone fem kandidater. Europaparlamentets behöriga utskott får besluta att hålla en utfrågning med kandidaterna för att kunna yttra sig om vilken kandidat det föredrar.

Kommissionens förslag

Ändringsförslag

2.  Den förteckning som upprättats av kommissionen och från vilken Europeiska datatillsynsmannen ska utses ska bestå av personer vars oberoende är ställt utom varje tvivel och som har den erfarenhet och sakkunskap som krävs för att utöva uppdraget som Europeisk datatillsynsman, exempelvis genom att de tillhör eller har tillhört de tillsynsmyndigheter som har inrättats i enlighet med artikel 41 i förordning (EU) 2016/679.

2.  Den förteckning som upprättats gemensamt av Europaparlamentet, rådet och kommissionen och från vilken Europeiska datatillsynsmannen ska utses ska bestå av personer vars oberoende är ställt utom varje tvivel och som har expertkunskap inom uppgiftsskydd och den erfarenhet och sakkunskap som krävs för att utöva uppdraget som Europeiska datatillsynsmannen, exempelvis genom att de tillhör eller har tillhört de tillsynsmyndigheter som har inrättats i enlighet med artikel 41 i förordning (EU) 2016/679.

Kommissionens förslag

Ändringsförslag

1a.  I fall där den registrerade är ett barn ska medlemsstaterna föreskriva om särskilda skyddsåtgärder, i synnerhet i fråga om rättshjälp.

Motivering

Barn kan vara sårbarare än vuxna, och särskilda skyddsåtgärder, särskilt när det gäller skydd genom rättshjälp, bör föreskrivas i medlemsstaterna för att garantera barns rättigheter.

Kommissionens förslag

Ändringsförslag

Kapitel IXa

Artikel 70a

Översynsklausul

1.   Senast den 1 juni 2021 och vart femte år därefter ska kommissionen lägga fram en rapport för Europaparlamentet om tillämpningen av denna förordning, vid behov åtföljd av lämpliga lagstiftningsförslag.

2.   Den efterhandsutvärdering som beskrivs i punkt 1 ska särskilt uppmärksamma lämpligheten i denna förordnings tillämpningsområde och överensstämmelsen med andra lagstiftningsakter på området för uppgiftsskydd samt i synnerhet bedöma genomförandet av kapitel V i denna förordning.

3.   Senast den 1 juni 2021 och vart femte år därefter ska kommissionen rapportera till Europaparlamentet om tillämpningen av kapitel VIII i denna förordning och de påföljder och sanktioner som tillämpats.

Motivering

För en bättre lagstiftning, och i synnerhet en ändamålsenlig användning av efterhandsutvärderingar för att fånga upp hela lagstiftningscykeln, är det av särskilt intresse att följa införlivandet, genomförandet och efterlevnaden av EU:s lagstiftning, och mer allmänt att övervaka lagstiftningens inverkan, funktion och effektivitet. En heltäckande översynsklausul, med krav på en lämplig utvärdering av förordningens tillämpning, dess tillämpningsområde och det planerade undantaget för befogenheter, liksom proportionerliga rapporteringsskyldigheter, tjänar detta syfte.

Kommissionens förslag

Ändringsförslag

Artikel 72a

Översyn av unionsrättsakter

Kommissionen ska senast den 25 maj 2021 se över andra rättsakter som antagits på grundval av fördragen och som reglerar behandling av personuppgifter, särskilt genom byråer som inrättats enligt tredje delen avdelning V kapitlen 4 och 5 i EUF-fördraget, i syfte att bedöma om de behöver anpassas till denna förordning, och i förekommande fall lägga fram nödvändiga förslag till ändring av dessa rättsakter för att säkerställa ett enhetligt tillvägagångssätt för skyddet av personuppgifter inom denna förordnings tillämpningsområde.